Name:TR/Buzus.cejh.1
Entdeckt am:08/10/2009
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:139.264 Bytes
MD5 Prüfsumme:8f986dc6bfd92808800395c70bed764e
IVDF Version:7.01.06.87 - Donnerstag, 8. Oktober 2009

 General Verbreitungsmethode:
   • Autorun Dateien


Aliases:
   •  Sophos: W32/Autorun-ASR
   •  Panda: W32/IRCBot.CRG.worm
   •  Eset: Win32/AutoRun.IRCBot.DJ
   •  Bitdefender: Backdoor.IrcBot.ACVJ


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\winulty.exe
   • %Laufwerk%\~tmpdata\~tmpdata.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

%Laufwerk%\Autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Upgrate Utility"="%SYSDIR%\winulty.exe"



Folgender Registryschlüssel wird geändert:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   ZoneMap]
   Neuer Wert:
   • "ProxyBypass"=dword:0x00000001

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: srv1.mes**********.ru
Port: 1863
Nickname: N|USA|0|XP|%Nummer%

Server: srv1.man**********.ru
Port: 1863


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • Datei ausführen
    • Aktualisiert sich selbst

 Injektion – Es injiziert sich als einen Thread in einen Prozess.

    Prozessname:
   • winlogon.exe


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 19. Februar 2010
Die Beschreibung wurde geändert von Petre Galan am Dienstag, 23. Februar 2010

zurück . . . .