blog.malwarelist.org

Il Trojan.Win32.Buzus.EG si presenta come una email da parte della compagnia FedEx, che avverte l'utente del fallimento di una spedizione e di scaricare l'allegato in formato .zip, che dovrebbe contenere una copia della fattura, da stampare e consegnare all'ufficio FedEx piu' vicino, per poter ritirare il proprio pacco.

Ecco l'immagine della mail:

In realtà il pacchetto zip in allegato, contiene un file eseguibile service.exe (della dimensione di 69.632 byte) il quale, una volta avviato, si collega al sito linode.com e crea la cartella %USERPROFILE%\Dati Applicazioni\Security Solution\ dove scarica al suo interno 3 file icona: IcoActivate.ico, IcoHelp.ico ed IcoUnistall.ico, (tutti della dimensione di 894 byte) ed altri 3 file eseguibili:

• Security Solution.exe (2.909.696 byte)
• securityhelper.exe (4.675.587 byte)
• securitymanager.exe (96.256 byte)

Di questi file eseguibili, ne mette 2 (Security Solution.exe e securitymanager.exe) in esecuzione automatica.

Crea inoltre una copia del file securityhelper.exe rinominandolo in 840616042.exe e inserendolo nella cartella %USERPROFILE%\Dati Applicazioni\ .

Tutti questi file hanno lo scopo di creare delle finte schermate di antivirus/firewall certificati da Microsoft, ma che ovviamente non lo sono.
L'utente può decidere di chiudere queste finestre, ma fintanto che i processi rimarranno attivi, continueranno a comparire queste finestre ad intervalli regolari.

Esempi di schermate:

NOTE:

%USERPROFILE% = C:\Documents and Settings\{username} (in Windows XP)
                             C:\Users\{username} (in Windows Vista/7)

Rimozione: VirIT Versione 6.9.44 -  http://www.tgsoft.it/