PC OKEY - Alerta

Av. La Paz 356 - Oficina 202 - Miraflores - Lima 18 - Peru

Inicio

avast! Antivirus

NOD32 Antivirus

Empresa

Test antivirus

Ventas y Soporte

242-5751

446-5567

soporte@pcokey.com

ventas@pcokey.com

Zonebac

Nombre: Zonebac
Tipo: Trojan
Fecha: 18/SET/2006

Troyano con capacidad para reducir los niveles de seguridad establecidos para las distintas zonas del navegador 'Microsoft Internet Explorer'.
Busca en el registro de Windows los ficheros que se ejecutan automáticamente al arrancar el sistema y los sustituye por copias de sí mismo.

Este virus realiza las siguientes acciones:

Busca los siguientes procesos activos en el sistema, y en caso de encontrar alguno de ellos, el troyano detiene su propia ejecución:
firewallntservice.exe
spysweeper.exe
spysweeperui.exe
ssu.exe
wdfdataservice.exe
webrootdesktopfirewall.exe
isafe.exe
vsmon.exe
zlclient.exe

Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Valor: "Lexmark_X79-55" = "%System%\lsasss.exe"

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows, C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Busca los ficheros referidos en las siguientes claves del registro de Windows:
Claves: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Nota: El troyano crea una copia de todos los ficheros que encuentra referidos en esas claves. Las copias las ubica en un directorio llamado 'bak' localizado en el misma ruta que el fichero original.
A continuación, el troyano reemplaza el fichero original con una copia de sí mismo.

Se copia a sí mismo como '%System%\lsasss.exe'.

Crea los siguientes ficheros:
%Temp%\abc123.pid
%Temp%\abc123.dat

Nota: %Temp% es una variable que hace referencia al directorio temporalde Windows.
Por defecto es C:\Windows\TEMP (Windows 95/98/Me/XP) o C:\WINNT\Temp (Windows NT/2000).

Intenta recuperar la ruta del navegador por defecto.
En caso de encontrarla, comienza un proceso oculto para conectarse a las siguientes URLs:
http:// 88.80.5.21/check/check[- eliminado -]
http:// 221.231.140.49/check/check[- eliminado -]
http:// 222.38.148.30/check/check[- eliminado -]

Podría crear la siguiente subclave del registro:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Internet Settings\ZoneMap\Ranges\me

Modifica los valores indicados de la siguiente clave del registro para reducir los parámetros de las zonas de seguridad de Microsoft Internet Explorer:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
Valores: "CurrentLevel" = "10000"
"MinLevel" = "10000"
"RecommendedLevel" = "10000"
"Flags" = "43"
"1001" = "0"
"1004" = "0"
"1200" = "0"
"1201" = "0"
"1206" = "0"
"1400" = "0"
"1402" = "0"
"1405" = "0"
"1406" = "0"
"1407" = "0"
"1601" = "0"
"1604" = "0"
"1605" = "0"
"1606" = "0"
"1607" = "0"
"1608" = "0"
"1609" = "1"
"1800" = "0"
"1802" = "0"
"1803" = "0"
"1804" = "0"
"1805" = "0"
"1806" = "0"
"1807" = "0"
"1808" = "0"
"1809" = "0"
"1A00" = "0"
"1A02" = "0"
"1A03" = "0"
"1A04" = "0"
"1A05" = "0"
"1A06" = "0"
"1A10" = "0"
"1C00" = "30000"
"1E05" = "30000"
"2000" = "0"
"2001" = "0"
"2004" = "0"
"2100" = "0"
"2101" = "1"
"2102" = "0"
"2200" = "0"
"2201" = "0"
"2300" = "1"

Fuente:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=6287.

Copia de evaluación para organizaciones o personas que lo utilicen en negocios.

NOD32 peru
distribuidor de NOD32 en peru
tienda NOD32
comprar NOD32
venta de NOD32
NOD32 corporativo
avast peru
distribuidor de avast en peru
tienda avast
comprar avast
venta de avast
avast corporativo
antivirus
virus
eliminacion de virus
antivirus gratis
antivirus free
download antivirus
antivirus peru
recuperacion de data
disco dañado
recuperacion de archivos
recuperacion de passwords o contraseñas
seguridad informatica