Nome del virus:TR/Buzus.hrp
Scoperto:01/06/2008
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:No
Versione IVDF:7.00.04.121 - domenica 1 giugno 2008

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Infostealer.Banker.C
   •  Kaspersky: Trojan.Win32.Buzus.hrp
   •  F-Secure: Trojan.Win32.Buzus.hrp
   •  Sophos: Troj/Clagger-BE
   •  Panda: Trj/Sinowal.VMF
   •  VirusBuster: Trojan.Agent.ESNI
   •  Eset: Win32/TrojanDownloader.Nurech.NCK trojan
   •  Bitdefender: Trojan.Spy.Notos.I


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\ntos.exe



Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %SYSDIR%\wnspoem\audio.dll
   • %SYSDIR%\wnspoem\video.dll

 Registro Viene cambiata la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "Userinit"="%SYSDIR%\userinit.exe,"
   Nuovo valore:
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

 Backdoor Contatta il server:
Il seguente:
   • http://91.203.92.4/**********xxx.bin

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • winlogon.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Thomas Wegele su mercoledì 11 giugno 2008
Descrizione aggiornata da Thomas Wegele su mercoledì 11 giugno 2008

Indietro . . . .