Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Buzus.EC.41
Scoperto:15/05/2011
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:101.376 Byte
Somma di controllo MD5:132A989554F5E69C4E6A13D632B4F9B8
Versione VDF:7.11.08.22 - domenica 15 maggio 2011
Versione IVDF:7.11.08.22 - domenica 15 maggio 2011

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.bgxp
   •  Bitdefender: Trojan.Spy.Zbot.ESO
   •  Eset: Win32/Injector.FMH


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\Windefend.exe

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Defender"="%SYSDIR%\Windefend.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Defender"="%SYSDIR%\Windefend.exe"



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%file eseguiti%" = "%WINDIR%\nvsvc32.exe:*:Enabled:NVIDIA
      driver monitor"



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Valore precedente:
   • "Start" = dword:00000001
   Nuovo valore:
   • "Start" = dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
   Nuovo valore:
   • "Epoch"=dword:00000031

– [HKCR\TypeLib\{1EA4DBF0-3C3B-11CF-810C-00AA00389B71}\1.1\0\win32]
   Nuovo valore:
   • "(Default)"="oleacc.dll"

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: **********n2.no-ip.info
Porta: 1337
Nickname: %stringa di caratteri casuale%



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Nome Utente
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • disconnettere dal server IRC
    • Connettersi al canale IRC
    • Abbandonare il canale IRC

 Varie Accede alle risorse Internet:
   • browseusers.myspace.com/Browse/Browse.aspx
   • www.myspace.com/browse/people
   • www.myspace.com/help/browserunsupported
   • x.myspacecdn.com/images/BrowserUpgrade/bg_infobox.jpg
   • x.myspacecdn.com/images/BrowserUpgrade/icon_information.gif
   • x.myspacecdn.com/images/BrowserUpgrade/browserLogos_med.jpg
   • x.myspacecdn.com/modules/splash/static/img/cornersSheet.png
   • x.myspacecdn.com/images/BrowserUpgrade/bg_browserSection.jpg

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ilie su martedì 11 ottobre 2011
Descrizione aggiornata da Andrei Ilie su mercoledì 12 ottobre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.