Nome del virus:TR/Buzus.cptr
Scoperto:23/11/2009
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:262.144 Byte
Somma di controllo MD5:20f60d32f26b0bcc1b17aa994ddeed14
Versione IVDF:7.10.01.47 - lunedì 23 novembre 2009

 Generale Metodo di propagazione:
   • Autorun feature (it)


Alias:
   •  Mcafee: W32/Palack.worm
   •  Sophos: W32/AutoRun-AVL
   •  Panda: W32/P2PWorm.EK.worm
   •  Eset: Win32/AutoRun.IRCBot.DI
   •  Bitdefender: Trojan.Dropper.VB


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\wmispm.exe
   • %unità disco%\RECDIR-5902\data.sys



Cancella la copia di se stesso eseguita inizialmente.



Cancella il seguente file:
   • %TEMPDIR%\melt.bat



Vengono creati i seguenti file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%TEMPDIR%\melt.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.



Prova ad eseguire i seguenti file:

– Nome del file:
   • net stop avg8wd


– Nome del file:
   • "%SYSDIR%\wmispm.exe"


– Nome del file:
   • net1 stop AntiVirService


– Nome del file:
   • CMD /C sc stop SbPF.Launcher


– Nome del file:
   • sc stop avg8wd


– Nome del file:
   • CMD /C sc config "avast! Antivirus" start= disabled


– Nome del file:
   • sc stop NOD32krn


– Nome del file:
   • CMD /C sc config AntiVirService start= disabled


– Nome dei file:
   • "C:\WORK\!ITW
   • 44.exe"


– Nome del file:
   • CMD /C sc config avg8wd start= disabled


– Nome del file:
   • cmd /c ""%TEMPDIR%\melt.bat" "


– Nome del file:
   • sc config avg8wd start= disabled


– Nome del file:
   • CMD /C sc delete "avast! Antivirus"


– Nome del file:
   • CMD /C sc stop "avast! Antivirus"


– Nome del file:
   • sc delete AntiVirService


– Nome del file:
   • CMD /C del /F /S /Q *.zip


– Nome del file:
   • CMD /C sc delete PASRV


– Nome del file:
   • sc stop SbPF.Launcher


– Nome del file:
   • CMD /C sc stop avg8wd


– Nome del file:
   • CMD /C sc stop AntiVirService


– Nome del file:
   • net1 stop VSSERV


– Nome del file:
   • CMD /C net stop VSSERV


– Nome del file:
   • net stop SbPF.Launcher


– Nome del file:
   • CMD /C del /F /S /Q *.scr


– Nome del file:
   • sc config SbPF.Launcher start= disabled


– Nome del file:
   • sc delete SbPF.Launcher


– Nome del file:
   • CMD /C sc delete VSSERV


– Nome del file:
   • net stop NOD32krn


– Nome del file:
   • sc delete PASRV


– Nome del file:
   • net stop AntiVirService


– Nome del file:
   • sc delete VSSERV


– Nome del file:
   • CMD /C net stop SbPF.Launcher


– Nome del file:
   • sc config "avast! Antivirus" start= disabled


– Nome del file:
   • net1 stop "avast! Antivirus"


– Nome del file:
   • sc config AntiVirService start= disabled


– Nome del file:
   • CMD /C del /F /S /Q *.com


– Nome del file:
   • CMD /C sc delete AntiVirService


– Nome del file:
   • CMD /C sc delete SbPF.Launcher


– Nome del file:
   • CMD /C sc stop VSSERV


– Nome del file:
   • sc config VSSERV start= disabled


– Nome del file:
   • CMD /C sc config NOD32krn start= disabled


– Nome del file:
   • CMD /C sc stop NOD32krn


– Nome del file:
   • CMD /C net stop SPF4


– Nome del file:
   • CMD /C sc config PASRV start= disabled


– Nome del file:
   • CMD /C net stop PASRV


– Nome del file:
   • CMD /C net stop "avast! Antivirus"


– Nome del file:
   • CMD /C net stop AntiVirService


– Nome del file:
   • sc stop PASRV


– Nome del file:
   • CMD /C sc stop PASRV


– Nome del file:
   • sc delete "avast! Antivirus"


– Nome del file:
   • net1 stop SbPF.Launcher


– Nome del file:
   • net1 stop avg8wd


– Nome del file:
   • sc delete avg8wd


– Nome del file:
   • sc config NOD32krn start= disabled


– Nome del file:
   • sc stop VSSERV


– Nome del file:
   • CMD /C sc stop SPF4


– Nome del file:
   • CMD /C net stop NOD32krn


– Nome del file:
   • sc stop "avast! Antivirus"


– Nome del file:
   • net stop VSSERV


– Nome del file:
   • net stop PASRV


– Nome del file:
   • sc delete NOD32krn


– Nome del file:
   • CMD /C sc config VSSERV start= disabled


– Nome del file:
   • sc stop AntiVirService


– Nome del file:
   • CMD /C sc delete avg8wd


– Nome del file:
   • CMD /C sc config SbPF.Launcher start= disabled


– Nome del file:
   • CMD /C net stop avg8wd


– Nome del file:
   • net stop "avast! Antivirus"


– Nome del file:
   • net1 stop PASRV


– Nome del file:
   • sc config PASRV start= disabled


– Nome del file:
   • CMD /C sc delete NOD32krn


– Nome del file:
   • net1 stop NOD32krn

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ctfmon.exe"="ctfmon.exe"



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ctfmon.exe]
   • "Debugger"="wmispm.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\
   Layers]
   • "%SYSDIR%\wmispm.exe"="DisableNXShowUI"



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
   Nuovo valore:
   • "ctfmon.exe"="ctfmon.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
   Nuovo valore:
   • "ctfmon.exe"="ctfmon.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   Nuovo valore:
   • "GON"="%file eseguiti%"

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: ascend.sr**********.info
Porta: 31960
Canale: #w1sd0m
Nickname: [00|USA|XP|%numero%]

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.

Descrizione inserita da Petre Galan su giovedì 8 aprile 2010
Descrizione aggiornata da Petre Galan su giovedì 8 aprile 2010

Indietro . . . .