Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Buzus.EY.3
Scoperto:17/08/2011
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:155.648 Byte
Somma di controllo MD5:C67B6F1221C241280833CAB483D631CB
Versione VDF:7.11.13.117 - mercoledì 17 agosto 2011
Versione IVDF:7.11.13.117 - mercoledì 17 agosto 2011

 Generale Metodi di propagazione:
   • Funzione di esecuzione automatica
   • Messenger


Alias:
   •  Kaspersky: Backdoor.Win32.Ruskill.do
   •  TrendMicro: BKDR_IRCBRUTE.EK
   •  Microsoft: Trojan:Win32/Ircbrute
   •  DrWeb: Trojan.Packed.21754


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %APPDATA%\msnq.exe

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Update Guard"="%APPDATA%\msnq.exe"



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%APPDATA%\msnq.exe"="%APPDATA%\msnq.exe:*:Enabled:Windows Update
      Guard"

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– Windows Live Messenger

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: **********o.nerashti.net
Porta: 81
Nickname: %stringa di caratteri casuale%



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Utente corrente
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • disconnettere dal server IRC
    • Connettersi al canale IRC
    • Abbandonare il canale IRC
    • Visitare un sito web

 Come il virus si inserisce nei processi – Si inserisce come minaccia remota nei processi.

    Nome del processo:
   • explorer.exe


Descrizione inserita da Andrei Ilie su mercoledì 12 ottobre 2011
Descrizione aggiornata da Andrei Ilie su giovedì 13 ottobre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.