Имя:TR/Buzus.hrp
Обнаружен:01/06/2008
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Нет
Версия IVDF:7.00.04.121 - воскресенье, 1 июня 2008 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: Infostealer.Banker.C
   •  Kaspersky: Trojan.Win32.Buzus.hrp
   •  F-Secure: Trojan.Win32.Buzus.hrp
   •  Sophos: Troj/Clagger-BE
   •  Panda: Trj/Sinowal.VMF
   •  VirusBuster: Trojan.Agent.ESNI
   •  Eset: Win32/TrojanDownloader.Nurech.NCK trojan
   •  Bitdefender: Trojan.Spy.Notos.I


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\ntos.exe



Создаются следующие файлы:

– Файлы предназначены для временного использования и могут быть удалены.
   • %SYSDIR%\wnspoem\audio.dll
   • %SYSDIR%\wnspoem\video.dll

 Реестр Изменяется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Прежнее значение:
   • "Userinit"="%SYSDIR%\userinit.exe,"
   Новое значение:
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

 Backdoor Устанавливает соединение с сервером
Следующий:
   • http://91.203.92.4/**********xxx.bin

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

 Инфицирование – Объект внедряется в процесс.

    Имя процесса:
   • winlogon.exe


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Thomas Wegele в(о) среда, 11 июня 2008 г.
Описание обновил Thomas Wegele в(о) среда, 11 июня 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.