Nume:TR/Buzus.hrp
Descoperit pe data de:01/06/2008
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Nu
Versiune IVDF:7.00.04.121 - domingo, 1 de junho de 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Infostealer.Banker.C
   •  Kaspersky: Trojan.Win32.Buzus.hrp
   •  F-Secure: Trojan.Win32.Buzus.hrp
   •  Sophos: Troj/Clagger-BE
   •  Panda: Trj/Sinowal.VMF
   •  VirusBuster: Trojan.Agent.ESNI
   •  Eset: Win32/TrojanDownloader.Nurech.NCK trojan
   •  Bitdefender: Trojan.Spy.Notos.I


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\ntos.exe



Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %SYSDIR%\wnspoem\audio.dll
   • %SYSDIR%\wnspoem\video.dll

 Registrii sistemului Urmatoarea cheie din registri este modificata:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • "Userinit"="%SYSDIR%\userinit.exe,"
   Noua valoare:
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

 Backdoor Servere contactate:

   • http://91.203.92.4/**********xxx.bin

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • winlogon.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Thomas Wegele em quarta-feira, 11 de junho de 2008
Descrição atualizada por Thomas Wegele em quarta-feira, 11 de junho de 2008

Voltar . . . .