Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Buzus.czvp
Scoperto:27/01/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:201.728 Byte
Somma di controllo MD5:5b056eff9e08e6b3da45752edae22547
Versione IVDF:7.10.03.106 - mercoledì 27 gennaio 2010

 Generale    • Peer to Peer


Alias:
   •  Mcafee: W32/Palack.worm
   •  Sophos: Mal/CryptBox-A
   •  Panda: Trj/Buzus.LF
   •  Eset: Win32/Dursg.A
   •  Bitdefender: Trojan.Buzus.GN


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file maligno
   • Duplica file maligni
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %HOME%\Application Data\SystemProc\lsass.exe



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

%PROGRAM FILES%\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest
%PROGRAM FILES%\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf
%PROGRAM FILES%\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul



Prova a scaricare dei file:

La posizione la seguente:
   • http://controllmx.com/**********?aid=blackout


La posizione la seguente:
   • http://controllmx.com/**********?sd=&aid=blackout


La posizione la seguente:
   • http://liodio.com/**********?pop=1&aid=&sid=&key=




Prova ad eseguire il seguente file:

Nome del file:
   • "%home%\Application Data\SystemProc\lsass.exe"

 Registro Viene aggiunta la seguente chiave di registro:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "RTHDBPL"="%HOME%\Application Data\SystemProc\lsass.exe"



Viene cambiata la seguente chiave di registro:

[HKCU\Identities]
   Nuovo valore:
   • "Curr version"=""
   • "Inst Date"=""
   • "Last Date"=""
   • "Popup count"=""
   • "Popup date"=""
   • "Popup time"=""

 P2P Per infettare altri sistemi della comunit della rete Peer to Peer, viene eseguita la seguente azione: Cerca le seguenti directory:
   • %PROGRAM FILES%\winmx\shared\
   • %PROGRAM FILES%\tesla\files\
   • %PROGRAM FILES%\limewire\shared\
   • %PROGRAM FILES%\morpheus\my shared folder\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\edonkey2000\incoming\
   • %PROGRAM FILES%\bearshare\shared\
   • %PROGRAM FILES%\grokster\my grokster\
   • %PROGRAM FILES%\icq\shared folder\
   • %PROGRAM FILES%\kazaa lite k++\my shared folder\
   • %PROGRAM FILES%\kazaa lite\my shared folder\
   • %PROGRAM FILES%\kazaa\my shared folder\

   Se riuscito, i seguenti file vengono creati:
   • DivX 5.0 Pro KeyGen.exe; Counter-Strike KeyGen.exe; IP Nuker.exe;
      Website Hacker.exe; Keylogger.exe; AOL Password Cracker.exe; ICQ
      Hacker.exe; AOL Instant Messenger (AIM) Hacker.exe; MSN Password
      Cracker.exe; Microsoft Visual Studio KeyGen.exe; Microsoft Visual
      Basic KeyGen.exe; Microsoft Visual C++ KeyGen.exe; Sub7 2.3
      Private.exe; sdbot with NetBIOS Spread.exe; L0pht 4.0 Windows Password
      Cracker.exe; Windows Password Cracker.exe; NetBIOS Cracker.exe;
      NetBIOS Hacker.exe; DCOM Exploit.exe; Norton Anti-Virus 2005
      Enterprise Crack.exe; Hotmail Cracker.exe; Hotmail Hacker.exe; Brutus
      FTP Cracker.exe; FTP Cracker.exe; Password Cracker.exe; Half-Life 2
      Downloader.exe; UT 2003 KeyGen.exe; Windows 2003 Advanced Server
      KeyGen.exe


 Come il virus si inserisce nei processi Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su giovedì 8 aprile 2010
Descrizione aggiornata da Petre Galan su giovedì 8 aprile 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.