Atom Feed RSS Feed

Il mio profilo

My Photo
Name: blog
Location:

RICERCA

VirIT eXplorer Antivirus

Calendario

Ultimi Commenti

Archivio

Conta visite

Trojan.Win32.Buzus.EG

postato da blog.malwarelist.org [13/07/2011 14:47]

 


Il Trojan.Win32.Buzus.EG si presenta come una email da parte della compagnia FedEx, che avverte l'utente del fallimento di una spedizione e di scaricare l'allegato in formato .zip, che dovrebbe contenere una copia della fattura, da stampare e consegnare all'ufficio FedEx piu' vicino, per poter ritirare il proprio pacco.

Ecco l'immagine della mail:

 

 Nome Malware
 Trojan.Win32.Buzus.EG
 Dimensioni 69.632 byte
 Nome File
 service.exe

 

In realtà il pacchetto zip in allegato, contiene un file eseguibile service.exe (della dimensione di 69.632 byte) il quale, una volta avviato, si collega al sito linode.com e crea la cartella %USERPROFILE%\Dati Applicazioni\Security Solution\ dove scarica al suo interno 3 file icona: IcoActivate.ico, IcoHelp.ico ed IcoUnistall.ico, (tutti della dimensione di 894 byte) ed altri 3 file eseguibili:

 

  • Security Solution.exe (2.909.696 byte)
  • securityhelper.exe (4.675.587 byte)
  • securitymanager.exe (96.256 byte)

 

Di questi file eseguibili, ne mette 2 (Security Solution.exe e securitymanager.exe) in esecuzione automatica.

Crea inoltre una copia del file securityhelper.exe rinominandolo in 840616042.exe e inserendolo nella cartella %USERPROFILE%\Dati Applicazioni\ .

Tutti questi file hanno lo scopo di creare delle finte schermate di antivirus/firewall certificati da Microsoft, ma che ovviamente non lo sono.
L'utente può decidere di chiudere queste finestre, ma fintanto che i processi rimarranno attivi, continueranno a comparire queste finestre ad intervalli regolari.

 

Esempi di schermate:

 

 

NOTE:

%USERPROFILE% = C:\Documents and Settings\{username} (in Windows XP)
                             C:\Users\{username} (in Windows Vista/7)


 

Rimozione: VirIT Versione 6.9.44 -  http://www.tgsoft.it/