Vollständige Virenbeschreibung

Nume:	TR/Buzus.cptr
Descoperit pe data de:	23/11/2009
Tip:	Troian
ITW:	Da
Numar infectii raportate:	Scazut spre mediu
Potential de raspandire:	Scazut spre mediu
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	262.144 Bytes
MD5:	20f60d32f26b0bcc1b17aa994ddeed14
Versiune IVDF:	7.10.01.47 - Montag, 23. November 2009

General Metoda de raspandire:
   • Functia autorun

Alias:
   • Mcafee: W32/Palack.worm
   • Sophos: W32/AutoRun-AVL
   • Panda: W32/P2PWorm.EK.worm
   • Eset: Win32/AutoRun.IRCBot.DI
   • Bitdefender: Trojan.Dropper.VB

Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\wmispm.exe
   • %unitate disc%\RECDIR-5902\data.sys

Sterge copia initiala a virusului.

Sterge urmatorul fisier:
   • %TEMPDIR%\melt.bat

Sunt create fisierele:

– %unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %TEMPDIR%\melt.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • net stop avg8wd

– Numele fisierului:
   • "%SYSDIR%\wmispm.exe"

– Numele fisierului:
   • net1 stop AntiVirService

– Numele fisierului:
   • CMD /C sc stop SbPF.Launcher

– Numele fisierului:
   • sc stop avg8wd

– Numele fisierului:
   • CMD /C sc config "avast! Antivirus" start= disabled

– Numele fisierului:
   • sc stop NOD32krn

– Numele fisierului:
   • CMD /C sc config AntiVirService start= disabled

– Numele fisierelor:
   • "C:\WORK\!ITW
   • 44.exe"

– Numele fisierului:
   • CMD /C sc config avg8wd start= disabled

– Numele fisierului:
   • cmd /c ""%TEMPDIR%\melt.bat" "

– Numele fisierului:
   • sc config avg8wd start= disabled

– Numele fisierului:
   • CMD /C sc delete "avast! Antivirus"

– Numele fisierului:
   • CMD /C sc stop "avast! Antivirus"

– Numele fisierului:
   • sc delete AntiVirService

– Numele fisierului:
   • CMD /C del /F /S /Q *.zip

– Numele fisierului:
   • CMD /C sc delete PASRV

– Numele fisierului:
   • sc stop SbPF.Launcher

– Numele fisierului:
   • CMD /C sc stop avg8wd

– Numele fisierului:
   • CMD /C sc stop AntiVirService

– Numele fisierului:
   • net1 stop VSSERV

– Numele fisierului:
   • CMD /C net stop VSSERV

– Numele fisierului:
   • net stop SbPF.Launcher

– Numele fisierului:
   • CMD /C del /F /S /Q *.scr

– Numele fisierului:
   • sc config SbPF.Launcher start= disabled

– Numele fisierului:
   • sc delete SbPF.Launcher

– Numele fisierului:
   • CMD /C sc delete VSSERV

– Numele fisierului:
   • net stop NOD32krn

– Numele fisierului:
   • sc delete PASRV

– Numele fisierului:
   • net stop AntiVirService

– Numele fisierului:
   • sc delete VSSERV

– Numele fisierului:
   • CMD /C net stop SbPF.Launcher

– Numele fisierului:
   • sc config "avast! Antivirus" start= disabled

– Numele fisierului:
   • net1 stop "avast! Antivirus"

– Numele fisierului:
   • sc config AntiVirService start= disabled

– Numele fisierului:
   • CMD /C del /F /S /Q *.com

– Numele fisierului:
   • CMD /C sc delete AntiVirService

– Numele fisierului:
   • CMD /C sc delete SbPF.Launcher

– Numele fisierului:
   • CMD /C sc stop VSSERV

– Numele fisierului:
   • sc config VSSERV start= disabled

– Numele fisierului:
   • CMD /C sc config NOD32krn start= disabled

– Numele fisierului:
   • CMD /C sc stop NOD32krn

– Numele fisierului:
   • CMD /C net stop SPF4

– Numele fisierului:
   • CMD /C sc config PASRV start= disabled

– Numele fisierului:
   • CMD /C net stop PASRV

– Numele fisierului:
   • CMD /C net stop "avast! Antivirus"

– Numele fisierului:
   • CMD /C net stop AntiVirService

– Numele fisierului:
   • sc stop PASRV

– Numele fisierului:
   • CMD /C sc stop PASRV

– Numele fisierului:
   • sc delete "avast! Antivirus"

– Numele fisierului:
   • net1 stop SbPF.Launcher

– Numele fisierului:
   • net1 stop avg8wd

– Numele fisierului:
   • sc delete avg8wd

– Numele fisierului:
   • sc config NOD32krn start= disabled

– Numele fisierului:
   • sc stop VSSERV

– Numele fisierului:
   • CMD /C sc stop SPF4

– Numele fisierului:
   • CMD /C net stop NOD32krn

– Numele fisierului:
   • sc stop "avast! Antivirus"

– Numele fisierului:
   • net stop VSSERV

– Numele fisierului:
   • net stop PASRV

– Numele fisierului:
   • sc delete NOD32krn

– Numele fisierului:
   • CMD /C sc config VSSERV start= disabled

– Numele fisierului:
   • sc stop AntiVirService

– Numele fisierului:
   • CMD /C sc delete avg8wd

– Numele fisierului:
   • CMD /C sc config SbPF.Launcher start= disabled

– Numele fisierului:
   • CMD /C net stop avg8wd

– Numele fisierului:
   • net stop "avast! Antivirus"

– Numele fisierului:
   • net1 stop PASRV

– Numele fisierului:
   • sc config PASRV start= disabled

– Numele fisierului:
   • CMD /C sc delete NOD32krn

– Numele fisierului:
   • net1 stop NOD32krn

Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ctfmon.exe"="ctfmon.exe"

Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ctfmon.exe]
   • "Debugger"="wmispm.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\
   Layers]
   • "%SYSDIR%\wmispm.exe"="DisableNXShowUI"

Urmatoarele chei din registri sunt modificate:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
   Noua valoare:
   • "ctfmon.exe"="ctfmon.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
   Noua valoare:
   • "ctfmon.exe"="ctfmon.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   Noua valoare:
   • "GON"="%fisier executat%"

IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: ascend.sr**********.info
Port: 31960
Canal: #w1sd0m
Nick: [00|USA|XP|%numar%]

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Visual Basic.

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 8. April 2010
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 8. April 2010

zurück . . . .

PC Schutz

Gratis-Produkte

Beliebteste Produkte

Alle Produkte

Bundle-Lösungen

Arbeitsplatzrechner

Server

Bundle-Lösungen

Mail Gateways

Web Gateways

Kollaborationsplattformen

Für Privatanwender

Für Unternehmen

Virenlabor

Mehr Support

Avira Partner werden

Für Privatanwender

Für Unternehmen

Sie möchten das Produkt nur testen?

Handbücher und Tools