VírusTR/Spy.Buzus.gyj
Data em que surgiu:23/05/2008
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Não
Versão IVDF:7.00.04.80 - sexta-feira, 23 de maio de 2008

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Mcafee: Spy-Agent.bw trojan
   •  Kaspersky: Trojan.Win32.Buzus.gyj
   •  F-Secure: Trojan.Win32.Buzus.gyj
   •  Eset: Win32/Wigon.BC trojan
   •  Bitdefender: Trojan.Spy.WSNPoem.CN

Identificado anteriormente como:
   •  TR/Drop.Agent.70774


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\ntos.exe



São criados os seguintes ficheiros:

– Ficheiros temporários que poderam ser apagados mais tarde:
   • %SYSDIR%\wnspoem\audio.dll
   • %SYSDIR%\wnspoem\video.dll

 Registry (Registo do Windows) Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Userinit"="c:\windows\\system32\\userinit.exe,"
   Valor recente:
   • "Userinit"="c:\windows\\system32\\userinit.exe,%SYSDIR%\ntos.exe,"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   Valor recente:
   • "UID"="%nome do computador%_%valores hex%"

 E-mail Não tem rotinas próprias de propagação mas é enviado por email. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Assunto:
Um dos seguintes:
   • Mietvertrag
   • Abbuchungsvertrag
   • Konto eroeffnet
   • Der Vertrag



Corpo:
O corpo do email é o seguinte:
Às vezes inicia com o seguinte:

   • Guten Tag!

   • Sehr geehrte Damen und Herren

   • Hallo


Continua com o seguinte:

   • Wir haben den Vertrag vorbereitet und die Paragraphen hinzugefugt, die von Ihnen verlangt wurden.
     
     Unsere Juristen haben die letzte Seite verandert. Wenn es zu Ihrer Zufriedenheit ausfaellt, sind wir bereit am Freitag den ersten Warenposten zu bezahlen.
     
     Anbei finden Sie bitte die Datei mit dem angefertigten Vertrag.
     
     Wenn Sie brauchen, konnen wir Ihnen den Vertrag faxen.
     
     Wir warten auf Ihre Entscheidung.


Atalho:
O ficheiro de atalho tem o seguinte nome:
   • Vertrag.rar

O ficheiro de atalho contém uma cópia do próprio malware.

 Backdoor É aberta a seguinte porta:

– svchost.exe numa porta TCP aleatória Por forma a fornecer capacidades backdoor.


Contacta o servidor:
Seguinte:
   • valarsnetwor**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto.

 Introdução de código viral noutros processos – Introduz-se a si próprio num processo.

    Nome do processo:
   • winlogon.exe


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Thomas Wegele em sexta-feira, 23 de maio de 2008
Descrição atualizada por Thomas Wegele em sexta-feira, 23 de maio de 2008

Voltar . . . .