Name:TR/Proxy.Dlena.AT
Entdeckt am:01/12/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:29.696 Bytes
MD5 Prüfsumme:e7e78b720c8f95b1cc4149853b671d12
VDF Version:6.36.01.109
IVDF Version:6.36.01.114 - Freitag, 1. Dezember 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Proxy.Win32.Dlena.at
   •  F-Secure: Trojan-Proxy.Win32.Dlena.at
   •  Sophos: Troj/Proxy-FF
   •  Grisoft: Proxy.JBB


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Es wird folgende Datei erstellt:

%SYSDIR%\rpcc.dll



Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://193.37.152.88/**********
Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

– Die URL ist folgende:
   • http://205.209.179.44/**********
Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

– Die URL ist folgende:
   • http://66.185.126.201/**********
Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

– Die URL ist folgende:
   • http://66.185.126.34/**********
Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

 Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   rpcc]
   • "DllName"="%SYSDIR%\rpcc.dll"
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000001
   • "Startup"="Startup"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts]
   • "Id"=dword:787d1157
   • "Lid"=dword:0000001a

 Versand MX Server:
Es besitzt die Fähigkeit folgende MX Server zu kontaktieren:
   • mindspring.com
   • yahoo.com
   • microsoft.com

 Hintertür Kontaktiert Server:
Den folgenden:
   • %URL von heruntergeladener Datei%

Hierdurch werden Hintertürfunktionen bereitgestellt.

Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Datei ausführen
    • Emails verschicken

 Injektion –  Es injiziert folgende Datei in einen Prozess: rpcc.dll

    Alle der folgenden Prozesse:
   • svchost.exe
   • winlogon.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • PePack

Die Beschreibung wurde erstellt von Adriana Popa am Freitag, 12. Januar 2007
Die Beschreibung wurde geändert von Adriana Popa am Freitag, 12. Januar 2007

zurück . . . .