Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Buzus.EC.41
La date de la découverte:15/05/2011
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:101.376 Octets
Somme de contrôle MD5:132A989554F5E69C4E6A13D632B4F9B8
Version VDF:7.11.08.22 - dimanche 15 mai 2011
Version IVDF:7.11.08.22 - dimanche 15 mai 2011

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.bgxp
   •  Bitdefender: Trojan.Spy.Zbot.ESO
   •  Eset: Win32/Injector.FMH


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il facilite l'accès non autorisé à l'ordinateur
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\Windefend.exe

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Defender"="%SYSDIR%\Windefend.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Defender"="%SYSDIR%\Windefend.exe"



Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%le fichier exécuté%" =
      "%WINDIR%\nvsvc32.exe:*:Enabled:NVIDIA driver monitor"



Les clés de registre suivantes sont changées:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   L'ancienne valeur:
   • "Start" = dword:00000001
   La nouvelle valeur:
   • "Start" = dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
   La nouvelle valeur:
   • "Epoch"=dword:00000031

– [HKCR\TypeLib\{1EA4DBF0-3C3B-11CF-810C-00AA00389B71}\1.1\0\win32]
   La nouvelle valeur:
   • "(Default)"="oleacc.dll"

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: **********n2.no-ip.info
Port: 1337
Pseudonyme: %chaîne de caractères aléatoire%



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • se déconnecter du serveur IRC
    • Joindre le canal IRC
    • Quitter la canal IRC

 Informations divers Accède à des ressources Internet :
   • browseusers.myspace.com/Browse/Browse.aspx
   • www.myspace.com/browse/people
   • www.myspace.com/help/browserunsupported
   • x.myspacecdn.com/images/BrowserUpgrade/bg_infobox.jpg
   • x.myspacecdn.com/images/BrowserUpgrade/icon_information.gif
   • x.myspacecdn.com/images/BrowserUpgrade/browserLogos_med.jpg
   • x.myspacecdn.com/modules/splash/static/img/cornersSheet.png
   • x.myspacecdn.com/images/BrowserUpgrade/bg_browserSection.jpg

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Ilie le mardi 11 octobre 2011
Description mise à jour par Andrei Ilie le mercredi 12 octobre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.