Имя:TR/Buzus.517120
Обнаружен:31/03/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:517.120 байт.
Контрольная сумма MD5:6e8c4346ba425101a3e79448d1285faa
Версия IVDF:7.10.06.06 - среда, 31 марта 2010 г.

 Общее Метод распространения:
   • Autorun feature (ru)
   • Одноранговая сеть


Псевдонимы (аliases):
   •  Mcafee: W32/Xirtem
   •  Panda: W32/P2PWorm.DP.worm
   •  Eset: Win32/Merond.AA
   •  Bitdefender: Win32.Generic.496749


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносные файлы
   • Создает вредоносные файлы
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %SYSDIR%\jrshed.exe
   • %Диск%\RECYCLER\%CLSID%\redmond.exe



Создаются следующие файлы:

%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   •

%Диск%\RECYCLER\%CLSID%\Desktop.ini
%SYSDIR%\jvmi.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Buzus.cpav

%SYSDIR%\jhm.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Buzus.cpbr




Попытка загрузки следующих файлов:

– Следующий URL:
   • http://76.73.35.106/files/test/**********


– Следующий URL:
   • http://76.73.35.106/files/test/**********




Пытается запустить на выполнение следующие файлы:

– Имя файла:
   • "%SYSDIR%\jvmi.exe"


– Имя файла:
   • "%SYSDIR%\jhm.exe"

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdateSched12"="%SYSDIR%\jrshed.exe"



Удаляются значения следующего ключа реестра:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • APVXDWIN
   • AVG8_TRAY
   • AVP
   • BDAgent
   • CAVRID
   • DrWebScheduler
   • F-PROT Antivirus Tray application
   • ISTray
   • K7SystemTray
   • K7TSStart
   • McENUI
   • MskAgentexe
   • OfficeScanNT Monitor
   • RavTask
   • SBAMTray
   • SCANINICIO
   • SpIDerMail
   • Spam Blocker for Outlook Express
   • SpamBlocker
   • Windows Defender
   • avast!
   • cctray
   • egui
   • sbamui



Создание следующего элемента для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\jrshed.exe"="%SYSDIR%\jrshed.exe:*:Enabled:Explorer"



Изменяются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Новое значение:
   • "EnableLUA"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   Новое значение:
   • "qele2"="04"
   • "qetr2"="21"

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.
Список возможных отправителей письма:
   • e-cards@hallmark.com
   • invitations@hi5.com


Кому:
– В определенных файлах системы были обнаружены электронные адреса.


Тема:
Одно из следующих:
   • Jessica would like to be your friend on hi5!
   • You have received A Hallmark E-Card!



Тело:
– Содержит HTML код.


Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
   • Invitation Card.zip
   • Postcard.zip

Прикрепленный архивный файл содержит копию потенциально опасной программы.

 P2P    Производится поиск содержащих следующую последовательность знаков папок
   • emule\incoming

   При успешном завершении поиска создаются следующие файлы:
   • Adobe Acrobat Reader keygen.exe; PDF password remover (works with all
      acrobat reader).exe; VmWare keygen.exe; Sony Vegas Pro 8 0b Build
      219.exe; CheckPoint ZoneAlarm And AntiSpy.exe; Nero 9 9.2.6.0
      keygen.exe; Ad-aware 2009.exe; G-Force Platinum v3.7.5.exe; Ultimate
      ring tones package1 (Beethoven,Bach, Baris Manco,Lambada,Chopin,
      Greensleves).exe; Motorola, nokia, ericsson mobil phone tools.exe;
      Download Accelerator Plus v8.7.5.exe; Divx Pro 6.8.0.19 +
      keymaker.exe; DVD Tools Nero 9 2 6 0.exe; Smart Draw 2008 keygen.exe;
      Sophos antivirus updater bypass.exe; LimeWire Pro v4.18.3.exe;
      Microsoft.Windows 7 Beta1 Build 7000 x86.exe; Grand Theft Auto IV
      (Offline Activation).exe; BitDefender AntiVirus 2009 Keygen.exe; Magic
      Video Converter 8 0 2 18.exe; Windows XP PRO Corp SP3 valid-key
      generator.exe; Avast 4.8 Professional.exe; Microsoft Visual Studio
      2008 KeyGen.exe; Power ISO v4.2 + keygen axxo.exe; Microsoft Office
      2007 Home and Student keygen.exe; K-Lite codec pack 3.10 full.exe;
      Opera 9.62 International.exe; Google Earth Pro 4.2. with Maps and
      crack.exe; Adobe Photoshop CS4 crack.exe; Norton Anti-Virus 2009
      Enterprise Crack.exe; AnyDVD HD v.6.3.1.8 Beta incl crack.exe; Total
      Commander7 license+keygen.exe;
      Winamp.Pro.v6.53.PowerPack.Portable+installer.exe; Daemon Tools Pro
      4.11.exe; Windows 2008 Enterprise Server VMWare Virtual Machine.exe;
      Alcohol 120 v1.9.7.exe; CleanMyPC Registry Cleaner v6.02.exe; WinRAR
      v3.x keygen RaZoR.exe; Download Boost 2.0.exe; Windows2008 keygen and
      activator.exe; AVS video converter6.exe; K-Lite codec pack 4.0
      gold.exe; Kaspersky Internet Security 2009 keygen.exe; Tuneup
      Ultilities 2008.exe; Perfect keylogger family edition with crack.exe;
      Ultimate ring tones package2 (Lil Wayne - Way Of Life,Khia - My Neck
      My Back Like My Pussy And My Crack,Mario - Let Me Love You,R. Kelly -
      The Worlds Greatest).exe; Absolute Video Converter 6.2.exe; Super
      Utilities Pro 2009 11.0.exe; Internet Download Manager V5.exe; Youtube
      Music Downloader 1.0.exe; Myspace theme collection.exe; Ultimate ring
      tones package3 (Crazy In Love, U Got It Bad, 50 Cent - P.I.M.P,
      Jennifer Lopez Feat. Ll Cool J - All I Have, 50 Cent - 21
      Question).exe


 Backdoor Открывается порт:

– sonymusic.hom**********.org по TCP порту 443

 Разное  Связывается со следующим веб-сайтом для проверки установленного Интернет-соединения:
   • http://whatismyip.com/automation/n09230945.asp

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) пятница, 16 апреля 2010 г.
Описание обновил Petre Galan в(о) среда, 21 апреля 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.