Nome del virus:TR/Buzus.517120
Scoperto:31/03/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:517.120 Byte
Somma di controllo MD5:6e8c4346ba425101a3e79448d1285faa
Versione IVDF:7.10.06.06 - mercoledì 31 marzo 2010

 Generale Metodo di propagazione:
   • Autorun feature (it)
   • Peer to Peer


Alias:
   •  Mcafee: W32/Xirtem
   •  Panda: W32/P2PWorm.DP.worm
   •  Eset: Win32/Merond.AA
   •  Bitdefender: Win32.Generic.496749


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Duplica file “maligni”
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\jrshed.exe
   • %unità disco%\RECYCLER\%CLSID%\redmond.exe



Vengono creati i seguenti file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%unità disco%\RECYCLER\%CLSID%\Desktop.ini
%SYSDIR%\jvmi.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Buzus.cpav

%SYSDIR%\jhm.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Buzus.cpbr




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://76.73.35.106/files/test/**********


– La posizione è la seguente:
   • http://76.73.35.106/files/test/**********




Prova ad eseguire i seguenti file:

– Nome del file:
   • "%SYSDIR%\jvmi.exe"


– Nome del file:
   • "%SYSDIR%\jhm.exe"

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdateSched12"="%SYSDIR%\jrshed.exe"



I valori della seguente chiave di registro vengono rimossi:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • APVXDWIN
   • AVG8_TRAY
   • AVP
   • BDAgent
   • CAVRID
   • DrWebScheduler
   • F-PROT Antivirus Tray application
   • ISTray
   • K7SystemTray
   • K7TSStart
   • McENUI
   • MskAgentexe
   • OfficeScanNT Monitor
   • RavTask
   • SBAMTray
   • SCANINICIO
   • SpIDerMail
   • Spam Blocker for Outlook Express
   • SpamBlocker
   • Windows Defender
   • avast!
   • cctray
   • egui
   • sbamui



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\jrshed.exe"="%SYSDIR%\jrshed.exe:*:Enabled:Explorer"



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Nuovo valore:
   • "EnableLUA"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   Nuovo valore:
   • "qele2"="04"
   • "qetr2"="21"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.
Il mittente dell'email è uno dei seguenti:
   • e-cards@hallmark.com
   • invitations@hi5.com


A:
– Indirizzi email trovati in specifici file sul sistema.


Oggetto:
Uno dei seguenti:
   • Jessica would like to be your friend on hi5!
   • You have received A Hallmark E-Card!



Corpo dell'email:
– Contiene codice HTML.


File allegato:
Il nome del file allegato è uno dei seguenti:
   • Invitation Card.zip
   • Postcard.zip

L'allegato è un archivio che contiene una copia del malware stesso.

 P2P    Cerca le directory che contengono la seguente sottostringa:
   • emule\incoming

   Se riuscito, i seguenti file vengono creati:
   • Adobe Acrobat Reader keygen.exe; PDF password remover (works with all
      acrobat reader).exe; VmWare keygen.exe; Sony Vegas Pro 8 0b Build
      219.exe; CheckPoint ZoneAlarm And AntiSpy.exe; Nero 9 9.2.6.0
      keygen.exe; Ad-aware 2009.exe; G-Force Platinum v3.7.5.exe; Ultimate
      ring tones package1 (Beethoven,Bach, Baris Manco,Lambada,Chopin,
      Greensleves).exe; Motorola, nokia, ericsson mobil phone tools.exe;
      Download Accelerator Plus v8.7.5.exe; Divx Pro 6.8.0.19 +
      keymaker.exe; DVD Tools Nero 9 2 6 0.exe; Smart Draw 2008 keygen.exe;
      Sophos antivirus updater bypass.exe; LimeWire Pro v4.18.3.exe;
      Microsoft.Windows 7 Beta1 Build 7000 x86.exe; Grand Theft Auto IV
      (Offline Activation).exe; BitDefender AntiVirus 2009 Keygen.exe; Magic
      Video Converter 8 0 2 18.exe; Windows XP PRO Corp SP3 valid-key
      generator.exe; Avast 4.8 Professional.exe; Microsoft Visual Studio
      2008 KeyGen.exe; Power ISO v4.2 + keygen axxo.exe; Microsoft Office
      2007 Home and Student keygen.exe; K-Lite codec pack 3.10 full.exe;
      Opera 9.62 International.exe; Google Earth Pro 4.2. with Maps and
      crack.exe; Adobe Photoshop CS4 crack.exe; Norton Anti-Virus 2009
      Enterprise Crack.exe; AnyDVD HD v.6.3.1.8 Beta incl crack.exe; Total
      Commander7 license+keygen.exe;
      Winamp.Pro.v6.53.PowerPack.Portable+installer.exe; Daemon Tools Pro
      4.11.exe; Windows 2008 Enterprise Server VMWare Virtual Machine.exe;
      Alcohol 120 v1.9.7.exe; CleanMyPC Registry Cleaner v6.02.exe; WinRAR
      v3.x keygen RaZoR.exe; Download Boost 2.0.exe; Windows2008 keygen and
      activator.exe; AVS video converter6.exe; K-Lite codec pack 4.0
      gold.exe; Kaspersky Internet Security 2009 keygen.exe; Tuneup
      Ultilities 2008.exe; Perfect keylogger family edition with crack.exe;
      Ultimate ring tones package2 (Lil Wayne - Way Of Life,Khia - My Neck
      My Back Like My Pussy And My Crack,Mario - Let Me Love You,R. Kelly -
      The Worlds Greatest).exe; Absolute Video Converter 6.2.exe; Super
      Utilities Pro 2009 11.0.exe; Internet Download Manager V5.exe; Youtube
      Music Downloader 1.0.exe; Myspace theme collection.exe; Ultimate ring
      tones package3 (Crazy In Love, U Got It Bad, 50 Cent - P.I.M.P,
      Jennifer Lopez Feat. Ll Cool J - All I Have, 50 Cent - 21
      Question).exe


 Backdoor Viene aperta la seguente porta:

– sonymusic.hom**********.org sulla porta TCP 443

 Varie  Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • http://whatismyip.com/automation/n09230945.asp

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su venerdì 16 aprile 2010
Descrizione aggiornata da Petre Galan su mercoledì 21 aprile 2010

Indietro . . . .