Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Buzus.cejh.1
La date de la dcouverte:08/10/2009
Type:Cheval de Troie
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:139.264 Octets
Somme de contrle MD5:8f986dc6bfd92808800395c70bed764e
Version IVDF:7.01.06.87 - jeudi 8 octobre 2009

 Gnral Mthode de propagation:
    Autorun feature (fr)


Les alias:
   •  Sophos: W32/Autorun-ASR
   •  Panda: W32/IRCBot.CRG.worm
   •  Eset: Win32/AutoRun.IRCBot.DJ
   •  Bitdefender: Backdoor.IrcBot.ACVJ


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre des fichiers malveillants
   • Il modifie des registres
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\winulty.exe
   • \~tmpdata\~tmpdata.exe



Il supprime sa propre copie, excute initialement

\Autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

 Registre On ajoute une des valeurs suivantes afin de lancer le processus aprs le redmarrage:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Upgrate Utility"="%SYSDIR%\winulty.exe"



La cl de registre suivante est change:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   ZoneMap]
   La nouvelle valeur:
   • "ProxyBypass"=dword:0x00000001

 IRC Afin de fournir des informations sur le systme et d'accs distance, il se connecte aux serveurs IRC suivants:

Serveur: srv1.mes**********.ru
Port: 1863
Pseudonyme: N|USA|0|XP|%nombre%

Serveur: srv1.man**********.ru
Port: 1863


 Ensuite il a la capacit d'oprer des actions tel que:
    • Excuter un fichier
     Se mettre jour tout seul

 L'injection du code viral dans d'autres processus – Il s'injecte comme fil d'excution dans un processus.

    Nom du processus :
   • winlogon.exe


 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.

Description insérée par Petre Galan le vendredi 19 février 2010
Description mise à jour par Petre Galan le mardi 23 février 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.