¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Buzus.czvp
Descubierto:27/01/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:201.728 Bytes
Suma de control MD5:5b056eff9e08e6b3da45752edae22547
Versión del IVDF:7.10.03.106 - miércoles, 27 de enero de 2010

 General    • Peer to Peer


Alias:
   •  Mcafee: W32/Palack.worm
   •  Sophos: Mal/CryptBox-A
   •  Panda: Trj/Buzus.LF
   •  Eset: Win32/Dursg.A
   •  Bitdefender: Trojan.Buzus.GN


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %HOME%\Application Data\SystemProc\lsass.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

%PROGRAM FILES%\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest
%PROGRAM FILES%\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf
%PROGRAM FILES%\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul



Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://controllmx.com/**********?aid=blackout


– La dirección es la siguiente:
   • http://controllmx.com/**********?sd=&aid=blackout


– La dirección es la siguiente:
   • http://liodio.com/**********?pop=1&aid=&sid=&key=




Intenta ejecutar el siguiente fichero:

– Ejecuta uno de los ficheros siguientes:
   • "%home%\Application Data\SystemProc\lsass.exe"

 Registro Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "RTHDBPL"="%HOME%\Application Data\SystemProc\lsass.exe"



Modifica la siguiente clave del registro:

– [HKCU\Identities]
   Nuevo valor:
   • "Curr version"=""
   • "Inst Date"=""
   • "Last Date"=""
   • "Popup count"=""
   • "Popup date"=""
   • "Popup time"=""

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones: Busca los siguientes directorios:
   • %PROGRAM FILES%\winmx\shared\
   • %PROGRAM FILES%\tesla\files\
   • %PROGRAM FILES%\limewire\shared\
   • %PROGRAM FILES%\morpheus\my shared folder\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\edonkey2000\incoming\
   • %PROGRAM FILES%\bearshare\shared\
   • %PROGRAM FILES%\grokster\my grokster\
   • %PROGRAM FILES%\icq\shared folder\
   • %PROGRAM FILES%\kazaa lite k++\my shared folder\
   • %PROGRAM FILES%\kazaa lite\my shared folder\
   • %PROGRAM FILES%\kazaa\my shared folder\

   Al tener éxito, crea los siguientes ficheros:
   • DivX 5.0 Pro KeyGen.exe; Counter-Strike KeyGen.exe; IP Nuker.exe;
      Website Hacker.exe; Keylogger.exe; AOL Password Cracker.exe; ICQ
      Hacker.exe; AOL Instant Messenger (AIM) Hacker.exe; MSN Password
      Cracker.exe; Microsoft Visual Studio KeyGen.exe; Microsoft Visual
      Basic KeyGen.exe; Microsoft Visual C++ KeyGen.exe; Sub7 2.3
      Private.exe; sdbot with NetBIOS Spread.exe; L0pht 4.0 Windows Password
      Cracker.exe; Windows Password Cracker.exe; NetBIOS Cracker.exe;
      NetBIOS Hacker.exe; DCOM Exploit.exe; Norton Anti-Virus 2005
      Enterprise Crack.exe; Hotmail Cracker.exe; Hotmail Hacker.exe; Brutus
      FTP Cracker.exe; FTP Cracker.exe; Password Cracker.exe; Half-Life 2
      Downloader.exe; UT 2003 KeyGen.exe; Windows 2003 Advanced Server
      KeyGen.exe


 Inyectar el código viral en otros procesos – Se inyecta como un hilo de ejecución remoto en un proceso.

    Nombre del proceso:
   • explorer.exe


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el jueves, 8 de abril de 2010
Descripción actualizada por Petre Galan el jueves, 8 de abril de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.