Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Buzus.EC.41
Scoperto:15/05/2011
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:101.376 Byte
Somma di controllo MD5:132A989554F5E69C4E6A13D632B4F9B8
Versione VDF:7.11.08.22 - domenica 15 maggio 2011
Versione IVDF:7.11.08.22 - domenica 15 maggio 2011

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.bgxp
   •  Bitdefender: Trojan.Spy.Zbot.ESO
   •  Eset: Win32/Injector.FMH


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\Windefend.exe

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Defender"="%SYSDIR%\Windefend.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Defender"="%SYSDIR%\Windefend.exe"



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%file eseguiti%" = "%WINDIR%\nvsvc32.exe:*:Enabled:NVIDIA
      driver monitor"



Vengono cambiate le seguenti chiavi di registro:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Valore precedente:
   • "Start" = dword:00000001
   Nuovo valore:
   • "Start" = dword:00000004

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
   Nuovo valore:
   • "Epoch"=dword:00000031

[HKCR\TypeLib\{1EA4DBF0-3C3B-11CF-810C-00AA00389B71}\1.1\0\win32]
   Nuovo valore:
   • "(Default)"="oleacc.dll"

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: **********n2.no-ip.info
Porta: 1337
Nickname: %stringa di caratteri casuale%



 Questo malware ha la capacit di recuperare ed inviare informazioni quali:
    • Nome Utente
    • Informazioni sul sistema operativo Windows


 In pi ha la capacit di effettuare azioni quali:
     connettere al server IRC
     disconnettere dal server IRC
    • Connettersi al canale IRC
    • Abbandonare il canale IRC

 Varie Accede alle risorse Internet:
   • browseusers.myspace.com/Browse/Browse.aspx
   • www.myspace.com/browse/people
   • www.myspace.com/help/browserunsupported
   • x.myspacecdn.com/images/BrowserUpgrade/bg_infobox.jpg
   • x.myspacecdn.com/images/BrowserUpgrade/icon_information.gif
   • x.myspacecdn.com/images/BrowserUpgrade/browserLogos_med.jpg
   • x.myspacecdn.com/modules/splash/static/img/cornersSheet.png
   • x.myspacecdn.com/images/BrowserUpgrade/bg_browserSection.jpg

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ilie su martedì 11 ottobre 2011
Descrizione aggiornata da Andrei Ilie su mercoledì 12 ottobre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.