VírusTR/Buzus.cptr
Data em que surgiu:23/11/2009
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:262.144 Bytes
MD5 checksum:20f60d32f26b0bcc1b17aa994ddeed14
Versão IVDF:7.10.01.47 - segunda-feira, 23 de novembro de 2009

 Vulgarmente Meio de transmissão:
   • Autorun feature (pt)


Alias:
   •  Mcafee: W32/Palack.worm
   •  Sophos: W32/AutoRun-AVL
   •  Panda: W32/P2PWorm.EK.worm
   •  Eset: Win32/AutoRun.IRCBot.DI
   •  Bitdefender: Trojan.Dropper.VB


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\wmispm.exe
   • %unidade%\RECDIR-5902\data.sys



Apaga a cópia executada inicialmente.



Elimina o seguinte ficheiro:
   • %TEMPDIR%\melt.bat



São criados os seguintes ficheiros:

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

%TEMPDIR%\melt.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • net stop avg8wd


– Executa um dos seguintes ficheiros:
   • "%SYSDIR%\wmispm.exe"


– Executa um dos seguintes ficheiros:
   • net1 stop AntiVirService


– Executa um dos seguintes ficheiros:
   • CMD /C sc stop SbPF.Launcher


– Executa um dos seguintes ficheiros:
   • sc stop avg8wd


– Executa um dos seguintes ficheiros:
   • CMD /C sc config "avast! Antivirus" start= disabled


– Executa um dos seguintes ficheiros:
   • sc stop NOD32krn


– Executa um dos seguintes ficheiros:
   • CMD /C sc config AntiVirService start= disabled


– Executa um dos seguintes ficheiros:
   • "C:\WORK\!ITW
   • 44.exe"


– Executa um dos seguintes ficheiros:
   • CMD /C sc config avg8wd start= disabled


– Executa um dos seguintes ficheiros:
   • cmd /c ""%TEMPDIR%\melt.bat" "


– Executa um dos seguintes ficheiros:
   • sc config avg8wd start= disabled


– Executa um dos seguintes ficheiros:
   • CMD /C sc delete "avast! Antivirus"


– Executa um dos seguintes ficheiros:
   • CMD /C sc stop "avast! Antivirus"


– Executa um dos seguintes ficheiros:
   • sc delete AntiVirService


– Executa um dos seguintes ficheiros:
   • CMD /C del /F /S /Q *.zip


– Executa um dos seguintes ficheiros:
   • CMD /C sc delete PASRV


– Executa um dos seguintes ficheiros:
   • sc stop SbPF.Launcher


– Executa um dos seguintes ficheiros:
   • CMD /C sc stop avg8wd


– Executa um dos seguintes ficheiros:
   • CMD /C sc stop AntiVirService


– Executa um dos seguintes ficheiros:
   • net1 stop VSSERV


– Executa um dos seguintes ficheiros:
   • CMD /C net stop VSSERV


– Executa um dos seguintes ficheiros:
   • net stop SbPF.Launcher


– Executa um dos seguintes ficheiros:
   • CMD /C del /F /S /Q *.scr


– Executa um dos seguintes ficheiros:
   • sc config SbPF.Launcher start= disabled


– Executa um dos seguintes ficheiros:
   • sc delete SbPF.Launcher


– Executa um dos seguintes ficheiros:
   • CMD /C sc delete VSSERV


– Executa um dos seguintes ficheiros:
   • net stop NOD32krn


– Executa um dos seguintes ficheiros:
   • sc delete PASRV


– Executa um dos seguintes ficheiros:
   • net stop AntiVirService


– Executa um dos seguintes ficheiros:
   • sc delete VSSERV


– Executa um dos seguintes ficheiros:
   • CMD /C net stop SbPF.Launcher


– Executa um dos seguintes ficheiros:
   • sc config "avast! Antivirus" start= disabled


– Executa um dos seguintes ficheiros:
   • net1 stop "avast! Antivirus"


– Executa um dos seguintes ficheiros:
   • sc config AntiVirService start= disabled


– Executa um dos seguintes ficheiros:
   • CMD /C del /F /S /Q *.com


– Executa um dos seguintes ficheiros:
   • CMD /C sc delete AntiVirService


– Executa um dos seguintes ficheiros:
   • CMD /C sc delete SbPF.Launcher


– Executa um dos seguintes ficheiros:
   • CMD /C sc stop VSSERV


– Executa um dos seguintes ficheiros:
   • sc config VSSERV start= disabled


– Executa um dos seguintes ficheiros:
   • CMD /C sc config NOD32krn start= disabled


– Executa um dos seguintes ficheiros:
   • CMD /C sc stop NOD32krn


– Executa um dos seguintes ficheiros:
   • CMD /C net stop SPF4


– Executa um dos seguintes ficheiros:
   • CMD /C sc config PASRV start= disabled


– Executa um dos seguintes ficheiros:
   • CMD /C net stop PASRV


– Executa um dos seguintes ficheiros:
   • CMD /C net stop "avast! Antivirus"


– Executa um dos seguintes ficheiros:
   • CMD /C net stop AntiVirService


– Executa um dos seguintes ficheiros:
   • sc stop PASRV


– Executa um dos seguintes ficheiros:
   • CMD /C sc stop PASRV


– Executa um dos seguintes ficheiros:
   • sc delete "avast! Antivirus"


– Executa um dos seguintes ficheiros:
   • net1 stop SbPF.Launcher


– Executa um dos seguintes ficheiros:
   • net1 stop avg8wd


– Executa um dos seguintes ficheiros:
   • sc delete avg8wd


– Executa um dos seguintes ficheiros:
   • sc config NOD32krn start= disabled


– Executa um dos seguintes ficheiros:
   • sc stop VSSERV


– Executa um dos seguintes ficheiros:
   • CMD /C sc stop SPF4


– Executa um dos seguintes ficheiros:
   • CMD /C net stop NOD32krn


– Executa um dos seguintes ficheiros:
   • sc stop "avast! Antivirus"


– Executa um dos seguintes ficheiros:
   • net stop VSSERV


– Executa um dos seguintes ficheiros:
   • net stop PASRV


– Executa um dos seguintes ficheiros:
   • sc delete NOD32krn


– Executa um dos seguintes ficheiros:
   • CMD /C sc config VSSERV start= disabled


– Executa um dos seguintes ficheiros:
   • sc stop AntiVirService


– Executa um dos seguintes ficheiros:
   • CMD /C sc delete avg8wd


– Executa um dos seguintes ficheiros:
   • CMD /C sc config SbPF.Launcher start= disabled


– Executa um dos seguintes ficheiros:
   • CMD /C net stop avg8wd


– Executa um dos seguintes ficheiros:
   • net stop "avast! Antivirus"


– Executa um dos seguintes ficheiros:
   • net1 stop PASRV


– Executa um dos seguintes ficheiros:
   • sc config PASRV start= disabled


– Executa um dos seguintes ficheiros:
   • CMD /C sc delete NOD32krn


– Executa um dos seguintes ficheiros:
   • net1 stop NOD32krn

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ctfmon.exe"="ctfmon.exe"



São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ctfmon.exe]
   • "Debugger"="wmispm.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\
   Layers]
   • "%SYSDIR%\wmispm.exe"="DisableNXShowUI"



Altera as seguintes chaves de registo do Windows:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
   Valor recente:
   • "ctfmon.exe"="ctfmon.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
   Valor recente:
   • "ctfmon.exe"="ctfmon.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   Valor recente:
   • "GON"="%ficheiro executado%"

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: ascend.sr**********.info
Porta: 31960
Canal #w1sd0m
Nickname: [00|USA|XP|%número% ]

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.

Descrição enviada por Petre Galan em quinta-feira, 8 de abril de 2010
Descrição atualizada por Petre Galan em quinta-feira, 8 de abril de 2010

Voltar . . . .