Имя:TR/Spy.Buzus.gyj
Обнаружен:23/05/2008
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Нет
Версия IVDF:7.00.04.80 - пятница, 23 мая 2008 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: Spy-Agent.bw trojan
   •  Kaspersky: Trojan.Win32.Buzus.gyj
   •  F-Secure: Trojan.Win32.Buzus.gyj
   •  Eset: Win32/Wigon.BC trojan
   •  Bitdefender: Trojan.Spy.WSNPoem.CN

Ранее были обнаружены как:
   •  TR/Drop.Agent.70774


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\ntos.exe



Создаются следующие файлы:

– Файлы предназначены для временного использования и могут быть удалены.
   • %SYSDIR%\wnspoem\audio.dll
   • %SYSDIR%\wnspoem\video.dll

 Реестр Изменяются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Прежнее значение:
   • "Userinit"="c:\windows\\system32\\userinit.exe,"
   Новое значение:
   • "Userinit"="c:\windows\\system32\\userinit.exe,%SYSDIR%\ntos.exe,"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   Новое значение:
   • "UID"="%Имя компьютера%_%шестнадцатиричное значение%"

 Email Программа не имеет собственной процедуры распространения. Распространяется с помощью электронной почты. Подробности приведены ниже:


От:
Адрес отправителя был фальсифицирован.


Тема:
Одно из следующих:
   • Mietvertrag
   • Abbuchungsvertrag
   • Konto eroeffnet
   • Der Vertrag



Тело:
Тело письма имеет следующий вид:
Иногда имеет в начале следующее:

   • Guten Tag!

   • Sehr geehrte Damen und Herren

   • Hallo


Продолжается одним из следующих:

   • Wir haben den Vertrag vorbereitet und die Paragraphen hinzugefugt, die von Ihnen verlangt wurden.
     
     Unsere Juristen haben die letzte Seite verandert. Wenn es zu Ihrer Zufriedenheit ausfaellt, sind wir bereit am Freitag den ersten Warenposten zu bezahlen.
     
     Anbei finden Sie bitte die Datei mit dem angefertigten Vertrag.
     
     Wenn Sie brauchen, konnen wir Ihnen den Vertrag faxen.
     
     Wir warten auf Ihre Entscheidung.


Прикрепленный файл:
Следующее имя прикрепленного файла:
   • Vertrag.rar

Прикрепленный архивный файл содержит копию потенциально опасной программы.

 Backdoor Открывается порт:

– svchost.exe к произвольному TCP порту для обеспечения backdoor функции.


Устанавливает соединение с сервером
Следующий:
   • valarsnetwor**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

 Инфицирование – Объект внедряется в процесс.

    Имя процесса:
   • winlogon.exe


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Thomas Wegele в(о) пятница, 23 мая 2008 г.
Описание обновил Thomas Wegele в(о) пятница, 23 мая 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.