¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Buzus.EC.41
Descubierto:15/05/2011
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:101.376 Bytes
Suma de control MD5:132A989554F5E69C4E6A13D632B4F9B8
Versin del VDF:7.11.08.22 - domingo 15 de mayo de 2011
Versin del IVDF:7.11.08.22 - domingo 15 de mayo de 2011

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.bgxp
   •  Bitdefender: Trojan.Spy.Zbot.ESO
   •  Eset: Win32/Injector.FMH


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\Windefend.exe

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Defender"="%SYSDIR%\Windefend.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Defender"="%SYSDIR%\Windefend.exe"



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%ficheros ejecutados%" =
      "%WINDIR%\nvsvc32.exe:*:Enabled:NVIDIA driver monitor"



Modifica las siguientes claves del registro:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Valor anterior:
   • "Start" = dword:00000001
   Nuevo valor:
   • "Start" = dword:00000004

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
   Nuevo valor:
   • "Epoch"=dword:00000031

[HKCR\TypeLib\{1EA4DBF0-3C3B-11CF-810C-00AA00389B71}\1.1\0\win32]
   Nuevo valor:
   • "(Default)"="oleacc.dll"

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: **********n2.no-ip.info
Puerto: 1337
Apodo: %serie de caracteres aleatorios%



 Este programa malicioso puede obtener y enviar informaciones tales como:
    • Nombre de usuario
    • Informaciones acerca del sistema operativo Windows


 Adems puede efectuar las siguientes operaciones:
     conectarse al servidor IRC
     desconectarse del servidor IRC
    • Ingresar a un canal IRC
    • Salir del canal IRC

 Informaciones diversas Accede a recursos de Internet:
   • browseusers.myspace.com/Browse/Browse.aspx
   • www.myspace.com/browse/people
   • www.myspace.com/help/browserunsupported
   • x.myspacecdn.com/images/BrowserUpgrade/bg_infobox.jpg
   • x.myspacecdn.com/images/BrowserUpgrade/icon_information.gif
   • x.myspacecdn.com/images/BrowserUpgrade/browserLogos_med.jpg
   • x.myspacecdn.com/modules/splash/static/img/cornersSheet.png
   • x.myspacecdn.com/images/BrowserUpgrade/bg_browserSection.jpg

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Andrei Ilie el martes 11 de octubre de 2011
Descripción actualizada por Andrei Ilie el miércoles 12 de octubre de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.