Nome del virus:TR/Spy.Buzus.gyj
Scoperto:23/05/2008
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:No
Versione IVDF:7.00.04.80 - venerdì 23 maggio 2008

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: Spy-Agent.bw trojan
   •  Kaspersky: Trojan.Win32.Buzus.gyj
   •  F-Secure: Trojan.Win32.Buzus.gyj
   •  Eset: Win32/Wigon.BC trojan
   •  Bitdefender: Trojan.Spy.WSNPoem.CN

Precedentemente individuato come:
   •  TR/Drop.Agent.70774


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\ntos.exe



Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %SYSDIR%\wnspoem\audio.dll
   • %SYSDIR%\wnspoem\video.dll

 Registro Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "Userinit"="c:\windows\\system32\\userinit.exe,"
   Nuovo valore:
   • "Userinit"="c:\windows\\system32\\userinit.exe,%SYSDIR%\ntos.exe,"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   Nuovo valore:
   • "UID"="%nome del computer%_%valori esadecimali%"

 Email Non possiede una propria procedura di propagazione, però si trasmette tramite email. Le caratteristiche sono descritte qui di seguito:


Da:
L'indirizzo del mittente è falso.


Oggetto:
Uno dei seguenti:
   • Mietvertrag
   • Abbuchungsvertrag
   • Konto eroeffnet
   • Der Vertrag



Corpo dell'email:
Il corpo dell’email è come il seguente:
A volte inizia con uno dei seguenti:

   • Guten Tag!

   • Sehr geehrte Damen und Herren

   • Hallo


Seguito dal seguente:

   • Wir haben den Vertrag vorbereitet und die Paragraphen hinzugefugt, die von Ihnen verlangt wurden.
     
     Unsere Juristen haben die letzte Seite verandert. Wenn es zu Ihrer Zufriedenheit ausfaellt, sind wir bereit am Freitag den ersten Warenposten zu bezahlen.
     
     Anbei finden Sie bitte die Datei mit dem angefertigten Vertrag.
     
     Wenn Sie brauchen, konnen wir Ihnen den Vertrag faxen.
     
     Wir warten auf Ihre Entscheidung.


File allegato:
Il nome del file allegato è:
   • Vertrag.rar

L'allegato è un archivio che contiene una copia del malware stesso.

 Backdoor Viene aperta la seguente porta:

– svchost.exe su una porta TCP casuale con lo scopo di procurarsi delle possibili backdoor.


Contatta il server:
Il seguente:
   • valarsnetwor**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • winlogon.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Thomas Wegele su venerdì 23 maggio 2008
Descrizione aggiornata da Thomas Wegele su venerdì 23 maggio 2008

Indietro . . . .