Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Buzus.cptr
Entdeckt am:23/11/2009
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:262.144 Bytes
MD5 Prfsumme:20f60d32f26b0bcc1b17aa994ddeed14
IVDF Version:7.10.01.47 - Montag, 23. November 2009

 General Verbreitungsmethode:
    Autorun Dateien


Aliases:
   •  Mcafee: W32/Palack.worm
   •  Sophos: W32/AutoRun-AVL
   •  Panda: W32/P2PWorm.EK.worm
   •  Eset: Win32/AutoRun.IRCBot.DI
   •  Bitdefender: Trojan.Dropper.VB


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schdliche Dateien
   • nderung an der Registry
   • Ermglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\wmispm.exe
   • %Laufwerk%\RECDIR-5902\data.sys



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.



Folgende Datei wird gelscht:
   • %TEMPDIR%\melt.bat



Es werden folgende Dateien erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%TEMPDIR%\melt.bat Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu lschen.



Es versucht folgende Dateien auszufhren:

Dateiname:
   • net stop avg8wd


Dateiname:
   • "%SYSDIR%\wmispm.exe"


Dateiname:
   • net1 stop AntiVirService


Dateiname:
   • CMD /C sc stop SbPF.Launcher


Dateiname:
   • sc stop avg8wd


Dateiname:
   • CMD /C sc config "avast! Antivirus" start= disabled


Dateiname:
   • sc stop NOD32krn


Dateiname:
   • CMD /C sc config AntiVirService start= disabled


Dateinamen:
   • "C:\WORK\!ITW
   • 44.exe"


Dateiname:
   • CMD /C sc config avg8wd start= disabled


Dateiname:
   • cmd /c ""%TEMPDIR%\melt.bat" "


Dateiname:
   • sc config avg8wd start= disabled


Dateiname:
   • CMD /C sc delete "avast! Antivirus"


Dateiname:
   • CMD /C sc stop "avast! Antivirus"


Dateiname:
   • sc delete AntiVirService


Dateiname:
   • CMD /C del /F /S /Q *.zip


Dateiname:
   • CMD /C sc delete PASRV


Dateiname:
   • sc stop SbPF.Launcher


Dateiname:
   • CMD /C sc stop avg8wd


Dateiname:
   • CMD /C sc stop AntiVirService


Dateiname:
   • net1 stop VSSERV


Dateiname:
   • CMD /C net stop VSSERV


Dateiname:
   • net stop SbPF.Launcher


Dateiname:
   • CMD /C del /F /S /Q *.scr


Dateiname:
   • sc config SbPF.Launcher start= disabled


Dateiname:
   • sc delete SbPF.Launcher


Dateiname:
   • CMD /C sc delete VSSERV


Dateiname:
   • net stop NOD32krn


Dateiname:
   • sc delete PASRV


Dateiname:
   • net stop AntiVirService


Dateiname:
   • sc delete VSSERV


Dateiname:
   • CMD /C net stop SbPF.Launcher


Dateiname:
   • sc config "avast! Antivirus" start= disabled


Dateiname:
   • net1 stop "avast! Antivirus"


Dateiname:
   • sc config AntiVirService start= disabled


Dateiname:
   • CMD /C del /F /S /Q *.com


Dateiname:
   • CMD /C sc delete AntiVirService


Dateiname:
   • CMD /C sc delete SbPF.Launcher


Dateiname:
   • CMD /C sc stop VSSERV


Dateiname:
   • sc config VSSERV start= disabled


Dateiname:
   • CMD /C sc config NOD32krn start= disabled


Dateiname:
   • CMD /C sc stop NOD32krn


Dateiname:
   • CMD /C net stop SPF4


Dateiname:
   • CMD /C sc config PASRV start= disabled


Dateiname:
   • CMD /C net stop PASRV


Dateiname:
   • CMD /C net stop "avast! Antivirus"


Dateiname:
   • CMD /C net stop AntiVirService


Dateiname:
   • sc stop PASRV


Dateiname:
   • CMD /C sc stop PASRV


Dateiname:
   • sc delete "avast! Antivirus"


Dateiname:
   • net1 stop SbPF.Launcher


Dateiname:
   • net1 stop avg8wd


Dateiname:
   • sc delete avg8wd


Dateiname:
   • sc config NOD32krn start= disabled


Dateiname:
   • sc stop VSSERV


Dateiname:
   • CMD /C sc stop SPF4


Dateiname:
   • CMD /C net stop NOD32krn


Dateiname:
   • sc stop "avast! Antivirus"


Dateiname:
   • net stop VSSERV


Dateiname:
   • net stop PASRV


Dateiname:
   • sc delete NOD32krn


Dateiname:
   • CMD /C sc config VSSERV start= disabled


Dateiname:
   • sc stop AntiVirService


Dateiname:
   • CMD /C sc delete avg8wd


Dateiname:
   • CMD /C sc config SbPF.Launcher start= disabled


Dateiname:
   • CMD /C net stop avg8wd


Dateiname:
   • net stop "avast! Antivirus"


Dateiname:
   • net1 stop PASRV


Dateiname:
   • sc config PASRV start= disabled


Dateiname:
   • CMD /C sc delete NOD32krn


Dateiname:
   • net1 stop NOD32krn

 Registry Einer der folgenden Werte wird dem Registry key hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ctfmon.exe"="ctfmon.exe"



Folgende Registryschlssel werden hinzugefgt:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ctfmon.exe]
   • "Debugger"="wmispm.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\
   Layers]
   • "%SYSDIR%\wmispm.exe"="DisableNXShowUI"



Folgende Registryschlssel werden gendert:

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
   Neuer Wert:
   • "ctfmon.exe"="ctfmon.exe"

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
   Neuer Wert:
   • "ctfmon.exe"="ctfmon.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   Neuer Wert:
   • "GON"="%ausgefhrte Datei%"

 IRC Um Systeminformationen zu bermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: ascend.sr**********.info
Port: 31960
Channel: #w1sd0m
Nickname: [00|USA|XP|%Nummer%]

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 8. April 2010
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 8. April 2010

zurück . . . .