Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Buzus.cejh.1
Entdeckt am:08/10/2009
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:139.264 Bytes
MD5 Prfsumme:8f986dc6bfd92808800395c70bed764e
IVDF Version:7.01.06.87 - Donnerstag, 8. Oktober 2009

 General Verbreitungsmethode:
    Autorun Dateien


Aliases:
   •  Sophos: W32/Autorun-ASR
   •  Panda: W32/IRCBot.CRG.worm
   •  Eset: Win32/AutoRun.IRCBot.DJ
   •  Bitdefender: Backdoor.IrcBot.ACVJ


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schdliche Dateien
   • nderung an der Registry
   • Ermglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\winulty.exe
   • %Laufwerk%\~tmpdata\~tmpdata.exe



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.

%Laufwerk%\Autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

 Registry Einer der folgenden Werte wird dem Registry key hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Upgrate Utility"="%SYSDIR%\winulty.exe"



Folgender Registryschlssel wird gendert:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   ZoneMap]
   Neuer Wert:
   • "ProxyBypass"=dword:0x00000001

 IRC Um Systeminformationen zu bermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: srv1.mes**********.ru
Port: 1863
Nickname: N|USA|0|XP|%Nummer%

Server: srv1.man**********.ru
Port: 1863


 Des Weiteren besitzt die Malware die Fhigkeit folgende Aktionen durchzufhren:
    • Datei ausfhren
     Aktualisiert sich selbst

 Injektion – Es injiziert sich als einen Thread in einen Prozess.

    Prozessname:
   • winlogon.exe


 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 19. Februar 2010
Die Beschreibung wurde geändert von Petre Galan am Dienstag, 23. Februar 2010

zurück . . . .