Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Buzus.czvp
Entdeckt am:27/01/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:201.728 Bytes
MD5 Prüfsumme:5b056eff9e08e6b3da45752edae22547
IVDF Version:7.10.03.106 - Mittwoch, 27. Januar 2010

 General    • Peer to Peer


Aliases:
   •  Mcafee: W32/Palack.worm
   •  Sophos: Mal/CryptBox-A
   •  Panda: Trj/Buzus.LF
   •  Eset: Win32/Dursg.A
   •  Bitdefender: Trojan.Buzus.GN


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %HOME%\Application Data\SystemProc\lsass.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

%PROGRAM FILES%\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest
%PROGRAM FILES%\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf
%PROGRAM FILES%\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul



Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://controllmx.com/**********?aid=blackout


– Die URL ist folgende:
   • http://controllmx.com/**********?sd=&aid=blackout


– Die URL ist folgende:
   • http://liodio.com/**********?pop=1&aid=&sid=&key=




Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • "%home%\Application Data\SystemProc\lsass.exe"

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "RTHDBPL"="%HOME%\Application Data\SystemProc\lsass.exe"



Folgender Registryschlüssel wird geändert:

– [HKCU\Identities]
   Neuer Wert:
   • "Curr version"=""
   • "Inst Date"=""
   • "Last Date"=""
   • "Popup count"=""
   • "Popup date"=""
   • "Popup time"=""

 P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen: Es wird nach folgenden Verzeichnissen gesucht:
   • %PROGRAM FILES%\winmx\shared\
   • %PROGRAM FILES%\tesla\files\
   • %PROGRAM FILES%\limewire\shared\
   • %PROGRAM FILES%\morpheus\my shared folder\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\edonkey2000\incoming\
   • %PROGRAM FILES%\bearshare\shared\
   • %PROGRAM FILES%\grokster\my grokster\
   • %PROGRAM FILES%\icq\shared folder\
   • %PROGRAM FILES%\kazaa lite k++\my shared folder\
   • %PROGRAM FILES%\kazaa lite\my shared folder\
   • %PROGRAM FILES%\kazaa\my shared folder\

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • DivX 5.0 Pro KeyGen.exe; Counter-Strike KeyGen.exe; IP Nuker.exe;
      Website Hacker.exe; Keylogger.exe; AOL Password Cracker.exe; ICQ
      Hacker.exe; AOL Instant Messenger (AIM) Hacker.exe; MSN Password
      Cracker.exe; Microsoft Visual Studio KeyGen.exe; Microsoft Visual
      Basic KeyGen.exe; Microsoft Visual C++ KeyGen.exe; Sub7 2.3
      Private.exe; sdbot with NetBIOS Spread.exe; L0pht 4.0 Windows Password
      Cracker.exe; Windows Password Cracker.exe; NetBIOS Cracker.exe;
      NetBIOS Hacker.exe; DCOM Exploit.exe; Norton Anti-Virus 2005
      Enterprise Crack.exe; Hotmail Cracker.exe; Hotmail Hacker.exe; Brutus
      FTP Cracker.exe; FTP Cracker.exe; Password Cracker.exe; Half-Life 2
      Downloader.exe; UT 2003 KeyGen.exe; Windows 2003 Advanced Server
      KeyGen.exe


 Injektion – Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • explorer.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 8. April 2010
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 8. April 2010

zurück . . . .