Nume:TR/Spy.Buzus.gyj
Descoperit pe data de:23/05/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Nu
Versiune IVDF:7.00.04.80 - vendredi 23 mai 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: Spy-Agent.bw trojan
   •  Kaspersky: Trojan.Win32.Buzus.gyj
   •  F-Secure: Trojan.Win32.Buzus.gyj
   •  Eset: Win32/Wigon.BC trojan
   •  Bitdefender: Trojan.Spy.WSNPoem.CN

Initial identificat ca:
   •  TR/Drop.Agent.70774


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\ntos.exe



Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %SYSDIR%\wnspoem\audio.dll
   • %SYSDIR%\wnspoem\video.dll

 Registrii sistemului Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • "Userinit"="c:\windows\\system32\\userinit.exe,"
   Noua valoare:
   • "Userinit"="c:\windows\\system32\\userinit.exe,%SYSDIR%\ntos.exe,"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   Noua valoare:
   • "UID"="%numele computerului%_%valori hex%"

 Email Nu are rutina proprie de propagare, dar a fost raspandit prin e-mail. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Subiect:
Unul din urmatoarele:
   • Mietvertrag
   • Abbuchungsvertrag
   • Konto eroeffnet
   • Der Vertrag



Corpul email-ului:
Corpul email-ului este:
Uneori incepe cu:

   • Guten Tag!

   • Sehr geehrte Damen und Herren

   • Hallo


In continuare:

   • Wir haben den Vertrag vorbereitet und die Paragraphen hinzugefugt, die von Ihnen verlangt wurden.
     
     Unsere Juristen haben die letzte Seite verandert. Wenn es zu Ihrer Zufriedenheit ausfaellt, sind wir bereit am Freitag den ersten Warenposten zu bezahlen.
     
     Anbei finden Sie bitte die Datei mit dem angefertigten Vertrag.
     
     Wenn Sie brauchen, konnen wir Ihnen den Vertrag faxen.
     
     Wir warten auf Ihre Entscheidung.


Atasament:
Numele fisierului atasat este urmatorul:
   • Vertrag.rar

Atasamentul este o arhiva ce contine chiar o copie malware.

 Backdoor Deschide portul

– svchost.exe port TCP aleator pentru a oferi functionalitate de backdoor.


Servere contactate:

   • valarsnetwor**********

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • winlogon.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Thomas Wegele le vendredi 23 mai 2008
Description mise à jour par Thomas Wegele le vendredi 23 mai 2008

Retour . . . .