¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Buzus.hsfd
Descubierto:16/06/2011
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Bajo
Potencial daino:Medio
Tamao:163.840 Bytes
Suma de control MD5:15C93A7FFACA48AE781E9ED2B99408DB
Versin del VDF:7.11.09.235 - jueves 16 de junio de 2011
Versin del IVDF:7.11.09.235 - jueves 16 de junio de 2011

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Kaspersky: Trojan.Win32.Buzus.hsfd
     Microsoft: Worm:Win32/Dorkbot.A
     DrWeb: Trojan.DownLoader3.39047


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Efectos secundarios:
   • Suelta ficheros
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %APPDATA%\%serie de caracteres aleatorios%.exe



Elimina la copia inicial del virus.

 Registro Aade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%serie de caracteres aleatorios%"="%APPDATA%\%serie de caracteres aleatorios%.exe"



Modifica la siguiente clave del registro:

Reduce las opciones de seguridad de Internet Explorer:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Nuevo valor:
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000000
   • "ProxyServer"=-
   • "ProxyOverride"=-
   • "AutoConfigURL"=-

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: server.**********ualizacionbancaria.com
Puerto: 1863
Contrasea del servidor: ngrBot
Canal: #start
Apodo: {%random caracters%}%random caracters%
Contrasea: romeo



 Este programa malicioso puede obtener y enviar informaciones tales como:
    • Usuario actual
    • Informaciones acerca del sistema operativo Windows


 Adems puede efectuar las siguientes operaciones:
     conectarse al servidor IRC
     desconectarse del servidor IRC
    • Ingresar a un canal IRC
    • Salir del canal IRC
     Visitar un sitio web

 Robo de informaciones  Monitoriza la red mediante un sniffer y busca las siguientes series de caracteres:
   • &password=; &txtPassword=; .moneybookers./login.pl;
      1and1.com/xml/config; 4shared.com/login; :2082/login; :2083/login;
      :2086/login; :2222/CMD_LOGIN; alertpay.com/login; aol./login.psp;
      bcointernacionallogin; bigstring./index.php; clave=;
      depositfiles.//login; dotster.com/login; dyndns/account;
      enom.com/login; facebook./login.php; fastmail./mail/;
      fileserv.com/login; filesonic.com/login; FLN-Password=;
      freakshare.com/login; gmx./FormLogin; godaddy.com/login;
      google./ServiceLoginAuth; hackforums./member.php; hotfile.com/login;
      letitbit.net; login.live./post.srf; login.Pass=; login.yahoo./login;
      LoginPassword=; loginUserPassword=; login_pass=; login_password=;
      mediafire.com/login; megaupload./login; members.iknowthatgirl/members;
      members.brazzers.com; moniker.com/Login; namecheap.com/login;
      netflix.com/ogin; netload.in/index; no-ip/login;
      officebanking.cl/login.asp; oron.com/login; pas=; pass=; Passwd=;
      passwd=; password=; Password=; password]=;
      paypal./webscr?cmd=_login-submit; runescape/weblogin;
      screenname.aol./login.psp; secure.logmein./logincheck;
      sendspace.com/login; service=youtube; signin.ebaySignIn;
      sms4file.com//signin-do; speedyshare.com/login; steampowered/login;
      TextfieldPassword=; thepiratebay.org/login; torrentleech.org/login;
      twitter.com/sessions; txtpass=; uploaded.to/login;
      uploading.com/login; vip-file.com//signin-do; webnames.ru/user_login;
      what.cd/login; whcmsdologin; youporn./login; IKnowThatGirl; Letitbit;
      Live; log; login; login.Pass; login.User; loginid; loginId; loginname;
      LoginPassword; loginUserName; LoginUserName; loginUserPassword;
      login_email; login_pass; login_password; LogMeIn; Mediafire;
      Megaupload; Moneybookers; Moniker; Namecheap; Netflix; Netload; NoIP;
      numeroTarjeta; OfficeBanking; Oron; pas; pass; passwd; Passwd;
      password; Password; PayPal; quick_password; quick_username; Runescape;
      rut; screenname; Sendspace; session[password];
      session[username_or_email]; Sms4file; Speedyshare; Steam;
      TextfieldEmail; TextfieldPassword; Thepiratebay; token; Torrentleech;
      Twitter; txtEmail; txtpass; txtPassword; txtuser; Uploaded; Uploading;
      user; userid; username; Vip-file; Webnames; Whatcd; Yahoo; YouPorn;
      YouTube

 Inyectar el cdigo viral en otros procesos  Se inserta como amenaza remota en los procesos.

    Los siguientes procesos:
   • explorer.exe
   • csrss.exe
   • services.exe
   • smss.exe
   • svchost.exe
   • svchost.exe
   • svchost.exe
   • svchost.exe
   • svchost.exe
   • winlogon.exe



Propsito:
El acceso a los siguientes sitios web est efectivamente bloqueado:
   • *webroot*; *fortinet*; *virusbusternprotect*; *gdatasoftware*;
      *virus*; *precisesecurity*; *lavasoft*; *hecktc*; *emsisoft*;
      *onlinemalwarescanner*; *onecarelive*; *f-secure*; *bullguard*;
      *clamav*; *pandasecurity*; *sophos*; *malwarebytes*;
      *sunbeltsoftware*; *norton*; *norman*; *mcafee*; *symantec*; *comodo*;
      *avast*; *avira*; *avg*; *bitdefender*; *eset*; *kaspersky*;
      *trendmicro*; *iseclab*; *virscan*; *garyshood*; *viruschief*;
      *jotti*; *threatexpert*; *novirusthanks*; *virustotal*


 Informaciones diversas Accede a recursos de Internet:
   • http://api.wipmania.com/

Descripción insertada por Andrei Ilie el martes 9 de agosto de 2011
Descripción actualizada por Andrei Ilie el martes 9 de agosto de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.