Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Buzus.cptr
Entdeckt am:23/11/2009
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:262.144 Bytes
MD5 Prüfsumme:20f60d32f26b0bcc1b17aa994ddeed14
IVDF Version:7.10.01.47 - Montag, 23. November 2009

 General Verbreitungsmethode:
   • Autorun Dateien


Aliases:
   •  Mcafee: W32/Palack.worm
   •  Sophos: W32/AutoRun-AVL
   •  Panda: W32/P2PWorm.EK.worm
   •  Eset: Win32/AutoRun.IRCBot.DI
   •  Bitdefender: Trojan.Dropper.VB


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\wmispm.exe
   • %Laufwerk%\RECDIR-5902\data.sys



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Folgende Datei wird gelöscht:
   • %TEMPDIR%\melt.bat



Es werden folgende Dateien erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%TEMPDIR%\melt.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.



Es versucht folgende Dateien auszuführen:

– Dateiname:
   • net stop avg8wd


– Dateiname:
   • "%SYSDIR%\wmispm.exe"


– Dateiname:
   • net1 stop AntiVirService


– Dateiname:
   • CMD /C sc stop SbPF.Launcher


– Dateiname:
   • sc stop avg8wd


– Dateiname:
   • CMD /C sc config "avast! Antivirus" start= disabled


– Dateiname:
   • sc stop NOD32krn


– Dateiname:
   • CMD /C sc config AntiVirService start= disabled


– Dateinamen:
   • "C:\WORK\!ITW
   • 44.exe"


– Dateiname:
   • CMD /C sc config avg8wd start= disabled


– Dateiname:
   • cmd /c ""%TEMPDIR%\melt.bat" "


– Dateiname:
   • sc config avg8wd start= disabled


– Dateiname:
   • CMD /C sc delete "avast! Antivirus"


– Dateiname:
   • CMD /C sc stop "avast! Antivirus"


– Dateiname:
   • sc delete AntiVirService


– Dateiname:
   • CMD /C del /F /S /Q *.zip


– Dateiname:
   • CMD /C sc delete PASRV


– Dateiname:
   • sc stop SbPF.Launcher


– Dateiname:
   • CMD /C sc stop avg8wd


– Dateiname:
   • CMD /C sc stop AntiVirService


– Dateiname:
   • net1 stop VSSERV


– Dateiname:
   • CMD /C net stop VSSERV


– Dateiname:
   • net stop SbPF.Launcher


– Dateiname:
   • CMD /C del /F /S /Q *.scr


– Dateiname:
   • sc config SbPF.Launcher start= disabled


– Dateiname:
   • sc delete SbPF.Launcher


– Dateiname:
   • CMD /C sc delete VSSERV


– Dateiname:
   • net stop NOD32krn


– Dateiname:
   • sc delete PASRV


– Dateiname:
   • net stop AntiVirService


– Dateiname:
   • sc delete VSSERV


– Dateiname:
   • CMD /C net stop SbPF.Launcher


– Dateiname:
   • sc config "avast! Antivirus" start= disabled


– Dateiname:
   • net1 stop "avast! Antivirus"


– Dateiname:
   • sc config AntiVirService start= disabled


– Dateiname:
   • CMD /C del /F /S /Q *.com


– Dateiname:
   • CMD /C sc delete AntiVirService


– Dateiname:
   • CMD /C sc delete SbPF.Launcher


– Dateiname:
   • CMD /C sc stop VSSERV


– Dateiname:
   • sc config VSSERV start= disabled


– Dateiname:
   • CMD /C sc config NOD32krn start= disabled


– Dateiname:
   • CMD /C sc stop NOD32krn


– Dateiname:
   • CMD /C net stop SPF4


– Dateiname:
   • CMD /C sc config PASRV start= disabled


– Dateiname:
   • CMD /C net stop PASRV


– Dateiname:
   • CMD /C net stop "avast! Antivirus"


– Dateiname:
   • CMD /C net stop AntiVirService


– Dateiname:
   • sc stop PASRV


– Dateiname:
   • CMD /C sc stop PASRV


– Dateiname:
   • sc delete "avast! Antivirus"


– Dateiname:
   • net1 stop SbPF.Launcher


– Dateiname:
   • net1 stop avg8wd


– Dateiname:
   • sc delete avg8wd


– Dateiname:
   • sc config NOD32krn start= disabled


– Dateiname:
   • sc stop VSSERV


– Dateiname:
   • CMD /C sc stop SPF4


– Dateiname:
   • CMD /C net stop NOD32krn


– Dateiname:
   • sc stop "avast! Antivirus"


– Dateiname:
   • net stop VSSERV


– Dateiname:
   • net stop PASRV


– Dateiname:
   • sc delete NOD32krn


– Dateiname:
   • CMD /C sc config VSSERV start= disabled


– Dateiname:
   • sc stop AntiVirService


– Dateiname:
   • CMD /C sc delete avg8wd


– Dateiname:
   • CMD /C sc config SbPF.Launcher start= disabled


– Dateiname:
   • CMD /C net stop avg8wd


– Dateiname:
   • net stop "avast! Antivirus"


– Dateiname:
   • net1 stop PASRV


– Dateiname:
   • sc config PASRV start= disabled


– Dateiname:
   • CMD /C sc delete NOD32krn


– Dateiname:
   • net1 stop NOD32krn

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ctfmon.exe"="ctfmon.exe"



Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ctfmon.exe]
   • "Debugger"="wmispm.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\
   Layers]
   • "%SYSDIR%\wmispm.exe"="DisableNXShowUI"



Folgende Registryschlüssel werden geändert:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
   Neuer Wert:
   • "ctfmon.exe"="ctfmon.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
   Neuer Wert:
   • "ctfmon.exe"="ctfmon.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   Neuer Wert:
   • "GON"="%ausgeführte Datei%"

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: ascend.sr**********.info
Port: 31960
Channel: #w1sd0m
Nickname: [00|USA|XP|%Nummer%]

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 8. April 2010
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 8. April 2010

zurück . . . .