Nume:TR/Buzus.cejh.1
Descoperit pe data de:08/10/2009
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:139.264 Bytes
MD5:8f986dc6bfd92808800395c70bed764e
Versiune IVDF:7.01.06.87 - Donnerstag, 8. Oktober 2009

 General Metoda de raspandire:
   • Functia autorun


Alias:
   •  Sophos: W32/Autorun-ASR
   •  Panda: W32/IRCBot.CRG.worm
   •  Eset: Win32/AutoRun.IRCBot.DJ
   •  Bitdefender: Backdoor.IrcBot.ACVJ


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\winulty.exe
   • %unitate disc%\~tmpdata\~tmpdata.exe



Sterge copia initiala a virusului.

%unitate disc%\Autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Upgrate Utility"="%SYSDIR%\winulty.exe"



Urmatoarea cheie din registri este modificata:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   ZoneMap]
   Noua valoare:
   • "ProxyBypass"=dword:0x00000001

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: srv1.mes**********.ru
Port: 1863
Nick: N|USA|0|XP|%numar%

Server: srv1.man**********.ru
Port: 1863


– In plus, poate efectua urmatoarele operatii:
    • executarea unui fisier
    • Se actualizeaza singur

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • winlogon.exe


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 19. Februar 2010
Die Beschreibung wurde geändert von Petre Galan am Dienstag, 23. Februar 2010

zurück . . . .