Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Buzus.hsfd
Scoperto:16/06/2011
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
Dimensione del file:163.840 Byte
Somma di controllo MD5:15C93A7FFACA48AE781E9ED2B99408DB
Versione VDF:7.11.09.235 - giovedì 16 giugno 2011
Versione IVDF:7.11.09.235 - giovedì 16 giugno 2011

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan.Win32.Buzus.hsfd
     Microsoft: Worm:Win32/Dorkbot.A
     DrWeb: Trojan.DownLoader3.39047


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %APPDATA%\%stringa di caratteri casuale%.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%APPDATA%\%stringa di caratteri casuale%.exe"



Viene cambiata la seguente chiave di registro:

Livello basso nelle impostazioni di sicurezza di Internet Explorer:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Nuovo valore:
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000000
   • "ProxyServer"=-
   • "ProxyOverride"=-
   • "AutoConfigURL"=-

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: server.**********ualizacionbancaria.com
Porta: 1863
Password del server: ngrBot
Canale: #start
Nickname: {%random caracters%}%random caracters%
Password: romeo



 Questo malware ha la capacit di recuperare ed inviare informazioni quali:
    • Utente corrente
    • Informazioni sul sistema operativo Windows


 In pi ha la capacit di effettuare azioni quali:
     connettere al server IRC
     disconnettere dal server IRC
    • Connettersi al canale IRC
    • Abbandonare il canale IRC
     Visitare un sito web

 Sottrazione di informazioni  Utilizza uno sniffer di rete che verifica la presenza delle seguenti stringhe:
   • &password=; &txtPassword=; .moneybookers./login.pl;
      1and1.com/xml/config; 4shared.com/login; :2082/login; :2083/login;
      :2086/login; :2222/CMD_LOGIN; alertpay.com/login; aol./login.psp;
      bcointernacionallogin; bigstring./index.php; clave=;
      depositfiles.//login; dotster.com/login; dyndns/account;
      enom.com/login; facebook./login.php; fastmail./mail/;
      fileserv.com/login; filesonic.com/login; FLN-Password=;
      freakshare.com/login; gmx./FormLogin; godaddy.com/login;
      google./ServiceLoginAuth; hackforums./member.php; hotfile.com/login;
      letitbit.net; login.live./post.srf; login.Pass=; login.yahoo./login;
      LoginPassword=; loginUserPassword=; login_pass=; login_password=;
      mediafire.com/login; megaupload./login; members.iknowthatgirl/members;
      members.brazzers.com; moniker.com/Login; namecheap.com/login;
      netflix.com/ogin; netload.in/index; no-ip/login;
      officebanking.cl/login.asp; oron.com/login; pas=; pass=; Passwd=;
      passwd=; password=; Password=; password]=;
      paypal./webscr?cmd=_login-submit; runescape/weblogin;
      screenname.aol./login.psp; secure.logmein./logincheck;
      sendspace.com/login; service=youtube; signin.ebaySignIn;
      sms4file.com//signin-do; speedyshare.com/login; steampowered/login;
      TextfieldPassword=; thepiratebay.org/login; torrentleech.org/login;
      twitter.com/sessions; txtpass=; uploaded.to/login;
      uploading.com/login; vip-file.com//signin-do; webnames.ru/user_login;
      what.cd/login; whcmsdologin; youporn./login; IKnowThatGirl; Letitbit;
      Live; log; login; login.Pass; login.User; loginid; loginId; loginname;
      LoginPassword; loginUserName; LoginUserName; loginUserPassword;
      login_email; login_pass; login_password; LogMeIn; Mediafire;
      Megaupload; Moneybookers; Moniker; Namecheap; Netflix; Netload; NoIP;
      numeroTarjeta; OfficeBanking; Oron; pas; pass; passwd; Passwd;
      password; Password; PayPal; quick_password; quick_username; Runescape;
      rut; screenname; Sendspace; session[password];
      session[username_or_email]; Sms4file; Speedyshare; Steam;
      TextfieldEmail; TextfieldPassword; Thepiratebay; token; Torrentleech;
      Twitter; txtEmail; txtpass; txtPassword; txtuser; Uploaded; Uploading;
      user; userid; username; Vip-file; Webnames; Whatcd; Yahoo; YouPorn;
      YouTube

 Come il virus si inserisce nei processi  Si inserisce come minaccia remota nei processi.

    Tutti i seguenti processi:
   • explorer.exe
   • csrss.exe
   • services.exe
   • smss.exe
   • svchost.exe
   • svchost.exe
   • svchost.exe
   • svchost.exe
   • svchost.exe
   • winlogon.exe



Purpose:
L'accesso ai seguenti siti web effettivamente bloccato:
   • *webroot*; *fortinet*; *virusbusternprotect*; *gdatasoftware*;
      *virus*; *precisesecurity*; *lavasoft*; *hecktc*; *emsisoft*;
      *onlinemalwarescanner*; *onecarelive*; *f-secure*; *bullguard*;
      *clamav*; *pandasecurity*; *sophos*; *malwarebytes*;
      *sunbeltsoftware*; *norton*; *norman*; *mcafee*; *symantec*; *comodo*;
      *avast*; *avira*; *avg*; *bitdefender*; *eset*; *kaspersky*;
      *trendmicro*; *iseclab*; *virscan*; *garyshood*; *viruschief*;
      *jotti*; *threatexpert*; *novirusthanks*; *virustotal*


 Varie Accede alle risorse Internet:
   • http://api.wipmania.com/

Descrizione inserita da Andrei Ilie su martedì 9 agosto 2011
Descrizione aggiornata da Andrei Ilie su martedì 9 agosto 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.