Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Buzus.EC.41
La date de la dcouverte:15/05/2011
Type:Cheval de Troie
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:101.376 Octets
Somme de contrle MD5:132A989554F5E69C4E6A13D632B4F9B8
Version VDF:7.11.08.22 - dimanche 15 mai 2011
Version IVDF:7.11.08.22 - dimanche 15 mai 2011

 Gnral Mthode de propagation:
   • Il ne possde pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.bgxp
   •  Bitdefender: Trojan.Spy.Zbot.ESO
   •  Eset: Win32/Injector.FMH


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effets secondaires:
   • Il facilite l'accs non autoris l'ordinateur
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\Windefend.exe

 Registre Les cls de registre suivantes sont ajoutes afin d'excuter des processus aprs le redmarrage:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Defender"="%SYSDIR%\Windefend.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Defender"="%SYSDIR%\Windefend.exe"



Il cre l'entre suivante afin de passer par le Firewall de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%le fichier excut%" =
      "%WINDIR%\nvsvc32.exe:*:Enabled:NVIDIA driver monitor"



Les cls de registre suivantes sont changes:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   L'ancienne valeur:
   • "Start" = dword:00000001
   La nouvelle valeur:
   • "Start" = dword:00000004

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
   La nouvelle valeur:
   • "Epoch"=dword:00000031

[HKCR\TypeLib\{1EA4DBF0-3C3B-11CF-810C-00AA00389B71}\1.1\0\win32]
   La nouvelle valeur:
   • "(Default)"="oleacc.dll"

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: **********n2.no-ip.info
Port: 1337
Pseudonyme: %chane de caractres alatoire%



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Nom d'utilisateur
    • Information sur le systme d'exploitation Windows


 Ensuite il a la capacit d'oprer des actions tel que:
     se connecter au serveur IRC
     se dconnecter du serveur IRC
    • Joindre le canal IRC
    • Quitter la canal IRC

 Informations divers Accde des ressources Internet:
   • browseusers.myspace.com/Browse/Browse.aspx
   • www.myspace.com/browse/people
   • www.myspace.com/help/browserunsupported
   • x.myspacecdn.com/images/BrowserUpgrade/bg_infobox.jpg
   • x.myspacecdn.com/images/BrowserUpgrade/icon_information.gif
   • x.myspacecdn.com/images/BrowserUpgrade/browserLogos_med.jpg
   • x.myspacecdn.com/modules/splash/static/img/cornersSheet.png
   • x.myspacecdn.com/images/BrowserUpgrade/bg_browserSection.jpg

 Dtails de fichier Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Andrei Ilie le mardi 11 octobre 2011
Description mise à jour par Andrei Ilie le mercredi 12 octobre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.