Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Buzus.hsfd
Data em que surgiu:16/06/2011
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Tamanho:163.840 Bytes
MD5 checksum:15C93A7FFACA48AE781E9ED2B99408DB
Versão VDF:7.11.09.235 - quinta-feira, 16 de junho de 2011
Versão IVDF:7.11.09.235 - quinta-feira, 16 de junho de 2011

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan.Win32.Buzus.hsfd
   •  Microsoft: Worm:Win32/Dorkbot.A
   •  DrWeb: Trojan.DownLoader3.39047


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efeitos secundários:
   • Descarrega ficheiros
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %APPDATA%\%uma série de caracteres aleatórios%.exe



Apaga a cópia executada inicialmente.

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%uma série de caracteres aleatórios%"="%APPDATA%\%uma série de caracteres aleatórios%.exe"



O seguinte valor do registo é alterado:

Opções de segurança baixa no Internet Explorer:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Valor recente:
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000000
   • "ProxyServer"=-
   • "ProxyOverride"=-
   • "AutoConfigURL"=-

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: server.**********ualizacionbancaria.com
Porta: 1863
Palavra-chave do servidor: ngrBot
Canal #start
Nickname: {%random caracters%}%random caracters%
Palavra-chave romeo



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Utilizador Actual
    • Informação sobre o sistema operativo Windows


– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Desliga-se do servidor de IRC
    • Ligação ao canal IRC
    • Abandona canais IRC
    • Visita um Web site

 Roubos de informação – Usa um sniffer de rede para pesquisar os seguintes textos:
   • &password=; &txtPassword=; .moneybookers./login.pl;
      1and1.com/xml/config; 4shared.com/login; :2082/login; :2083/login;
      :2086/login; :2222/CMD_LOGIN; alertpay.com/login; aol./login.psp;
      bcointernacionallogin; bigstring./index.php; clave=;
      depositfiles.//login; dotster.com/login; dyndns/account;
      enom.com/login; facebook./login.php; fastmail./mail/;
      fileserv.com/login; filesonic.com/login; FLN-Password=;
      freakshare.com/login; gmx./FormLogin; godaddy.com/login;
      google./ServiceLoginAuth; hackforums./member.php; hotfile.com/login;
      letitbit.net; login.live./post.srf; login.Pass=; login.yahoo./login;
      LoginPassword=; loginUserPassword=; login_pass=; login_password=;
      mediafire.com/login; megaupload./login; members.iknowthatgirl/members;
      members.brazzers.com; moniker.com/Login; namecheap.com/login;
      netflix.com/ogin; netload.in/index; no-ip/login;
      officebanking.cl/login.asp; oron.com/login; pas=; pass=; Passwd=;
      passwd=; password=; Password=; password]=;
      paypal./webscr?cmd=_login-submit; runescape/weblogin;
      screenname.aol./login.psp; secure.logmein./logincheck;
      sendspace.com/login; service=youtube; signin.ebaySignIn;
      sms4file.com//signin-do; speedyshare.com/login; steampowered/login;
      TextfieldPassword=; thepiratebay.org/login; torrentleech.org/login;
      twitter.com/sessions; txtpass=; uploaded.to/login;
      uploading.com/login; vip-file.com//signin-do; webnames.ru/user_login;
      what.cd/login; whcmsdologin; youporn./login; IKnowThatGirl; Letitbit;
      Live; log; login; login.Pass; login.User; loginid; loginId; loginname;
      LoginPassword; loginUserName; LoginUserName; loginUserPassword;
      login_email; login_pass; login_password; LogMeIn; Mediafire;
      Megaupload; Moneybookers; Moniker; Namecheap; Netflix; Netload; NoIP;
      numeroTarjeta; OfficeBanking; Oron; pas; pass; passwd; Passwd;
      password; Password; PayPal; quick_password; quick_username; Runescape;
      rut; screenname; Sendspace; session[password];
      session[username_or_email]; Sms4file; Speedyshare; Steam;
      TextfieldEmail; TextfieldPassword; Thepiratebay; token; Torrentleech;
      Twitter; txtEmail; txtpass; txtPassword; txtuser; Uploaded; Uploading;
      user; userid; username; Vip-file; Webnames; Whatcd; Yahoo; YouPorn;
      YouTube

 Introdução de código viral noutros processos – É injetado automaticamente como um thread remoto nos processos.

    Todos os processos que se seguem:
   • explorer.exe
   • csrss.exe
   • services.exe
   • smss.exe
   • svchost.exe
   • svchost.exe
   • svchost.exe
   • svchost.exe
   • svchost.exe
   • winlogon.exe



Propósito:
O acesso aos seguintes sites é bloqueado:
   • *webroot*; *fortinet*; *virusbusternprotect*; *gdatasoftware*;
      *virus*; *precisesecurity*; *lavasoft*; *hecktc*; *emsisoft*;
      *onlinemalwarescanner*; *onecarelive*; *f-secure*; *bullguard*;
      *clamav*; *pandasecurity*; *sophos*; *malwarebytes*;
      *sunbeltsoftware*; *norton*; *norman*; *mcafee*; *symantec*; *comodo*;
      *avast*; *avira*; *avg*; *bitdefender*; *eset*; *kaspersky*;
      *trendmicro*; *iseclab*; *virscan*; *garyshood*; *viruschief*;
      *jotti*; *threatexpert*; *novirusthanks*; *virustotal*


 Informações diversas Recursos de acesso à Internet:
   • http://api.wipmania.com/

Descrição enviada por Andrei Ilie em terça-feira, 9 de agosto de 2011
Descrição atualizada por Andrei Ilie em terça-feira, 9 de agosto de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.