Name:TR/Buzus.517120
Entdeckt am:31/03/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:517.120 Bytes
MD5 Prüfsumme:6e8c4346ba425101a3e79448d1285faa
IVDF Version:7.10.06.06 - Mittwoch, 31. März 2010

 General Verbreitungsmethode:
   • Autorun Dateien
   • Peer to Peer


Aliases:
   •  Mcafee: W32/Xirtem
   •  Panda: W32/P2PWorm.DP.worm
   •  Eset: Win32/Merond.AA
   •  Bitdefender: Win32.Generic.496749


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\jrshed.exe
   • %Laufwerk%\RECYCLER\%CLSID%\redmond.exe



Es werden folgende Dateien erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%Laufwerk%\RECYCLER\%CLSID%\Desktop.ini
%SYSDIR%\jvmi.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Buzus.cpav

%SYSDIR%\jhm.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Buzus.cpbr




Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://76.73.35.106/files/test/**********


– Die URL ist folgende:
   • http://76.73.35.106/files/test/**********




Es versucht folgende Dateien auszuführen:

– Dateiname:
   • "%SYSDIR%\jvmi.exe"


– Dateiname:
   • "%SYSDIR%\jhm.exe"

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdateSched12"="%SYSDIR%\jrshed.exe"



Die Werte des folgenden Registry keys werden gelöscht:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • APVXDWIN
   • AVG8_TRAY
   • AVP
   • BDAgent
   • CAVRID
   • DrWebScheduler
   • F-PROT Antivirus Tray application
   • ISTray
   • K7SystemTray
   • K7TSStart
   • McENUI
   • MskAgentexe
   • OfficeScanNT Monitor
   • RavTask
   • SBAMTray
   • SCANINICIO
   • SpIDerMail
   • Spam Blocker for Outlook Express
   • SpamBlocker
   • Windows Defender
   • avast!
   • cctray
   • egui
   • sbamui



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\jrshed.exe"="%SYSDIR%\jrshed.exe:*:Enabled:Explorer"



Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Neuer Wert:
   • "EnableLUA"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   Neuer Wert:
   • "qele2"="04"
   • "qetr2"="21"

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.
Der Absender der Email ist einer der folgenden:
   • e-cards@hallmark.com
   • invitations@hi5.com


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.


Betreff:
Eine der folgenden:
   • Jessica would like to be your friend on hi5!
   • You have received A Hallmark E-Card!



Body:
– Verwendung von HTML Inhalten.


Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • Invitation Card.zip
   • Postcard.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.

 P2P    Es wird nach Verzeichnissen gesucht welche folgende Zeichenkette enthalten:
   • emule\incoming

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • Adobe Acrobat Reader keygen.exe; PDF password remover (works with all
      acrobat reader).exe; VmWare keygen.exe; Sony Vegas Pro 8 0b Build
      219.exe; CheckPoint ZoneAlarm And AntiSpy.exe; Nero 9 9.2.6.0
      keygen.exe; Ad-aware 2009.exe; G-Force Platinum v3.7.5.exe; Ultimate
      ring tones package1 (Beethoven,Bach, Baris Manco,Lambada,Chopin,
      Greensleves).exe; Motorola, nokia, ericsson mobil phone tools.exe;
      Download Accelerator Plus v8.7.5.exe; Divx Pro 6.8.0.19 +
      keymaker.exe; DVD Tools Nero 9 2 6 0.exe; Smart Draw 2008 keygen.exe;
      Sophos antivirus updater bypass.exe; LimeWire Pro v4.18.3.exe;
      Microsoft.Windows 7 Beta1 Build 7000 x86.exe; Grand Theft Auto IV
      (Offline Activation).exe; BitDefender AntiVirus 2009 Keygen.exe; Magic
      Video Converter 8 0 2 18.exe; Windows XP PRO Corp SP3 valid-key
      generator.exe; Avast 4.8 Professional.exe; Microsoft Visual Studio
      2008 KeyGen.exe; Power ISO v4.2 + keygen axxo.exe; Microsoft Office
      2007 Home and Student keygen.exe; K-Lite codec pack 3.10 full.exe;
      Opera 9.62 International.exe; Google Earth Pro 4.2. with Maps and
      crack.exe; Adobe Photoshop CS4 crack.exe; Norton Anti-Virus 2009
      Enterprise Crack.exe; AnyDVD HD v.6.3.1.8 Beta incl crack.exe; Total
      Commander7 license+keygen.exe;
      Winamp.Pro.v6.53.PowerPack.Portable+installer.exe; Daemon Tools Pro
      4.11.exe; Windows 2008 Enterprise Server VMWare Virtual Machine.exe;
      Alcohol 120 v1.9.7.exe; CleanMyPC Registry Cleaner v6.02.exe; WinRAR
      v3.x keygen RaZoR.exe; Download Boost 2.0.exe; Windows2008 keygen and
      activator.exe; AVS video converter6.exe; K-Lite codec pack 4.0
      gold.exe; Kaspersky Internet Security 2009 keygen.exe; Tuneup
      Ultilities 2008.exe; Perfect keylogger family edition with crack.exe;
      Ultimate ring tones package2 (Lil Wayne - Way Of Life,Khia - My Neck
      My Back Like My Pussy And My Crack,Mario - Let Me Love You,R. Kelly -
      The Worlds Greatest).exe; Absolute Video Converter 6.2.exe; Super
      Utilities Pro 2009 11.0.exe; Internet Download Manager V5.exe; Youtube
      Music Downloader 1.0.exe; Myspace theme collection.exe; Ultimate ring
      tones package3 (Crazy In Love, U Got It Bad, 50 Cent - P.I.M.P,
      Jennifer Lopez Feat. Ll Cool J - All I Have, 50 Cent - 21
      Question).exe


 Hintertür Der folgende Port wird geöffnet:

– sonymusic.hom**********.org am TCP Port 443

 Diverses  Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen:
   • http://whatismyip.com/automation/n09230945.asp

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 16. April 2010
Die Beschreibung wurde geändert von Petre Galan am Mittwoch, 21. April 2010

zurück . . . .