Nume:TR/Buzus.clqr.9
Descoperit pe data de:23/11/2009
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:32.256 Bytes
MD5:0708f1d10ef77bdb27339913a4483e13
Versiune IVDF:7.10.01.47 - Montag, 23. November 2009

 General Metoda de raspandire:
   • Functia autorun


Alias:
   •  Mcafee: W32/Palack.worm
   •  Panda: Trj/Buzus.LF
   •  Eset: Win32/Agent.HXW
   •  Bitdefender: Trojan.Generic.2653173


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %unitate disc%\RECYCLER\%CLSID%\pqlmq.exe



Sunt create fisierele:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%\RECYCLER\%CLSID%\Desktop.ini

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "12CFG515-K641-55SF-N66P"="%recycle bin%\%CLSID%\pqlmq.exe"

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • explorer.exe


 Alte informatii Conexiune internet:

Formuleaza cereri pentru numele:
   • orts.alwaysproxy4.info

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 8. April 2010
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 8. April 2010

zurück . . . .