Nume:TR/Proxy.Dlena.AT
Descoperit pe data de:01/12/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:29.696 Bytes
MD5:e7e78b720c8f95b1cc4149853b671d12
Versiune VDF:6.36.01.109
Versiune IVDF:6.36.01.114 - Freitag, 1. Dezember 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Proxy.Win32.Dlena.at
   •  F-Secure: Trojan-Proxy.Win32.Dlena.at
   •  Sophos: Troj/Proxy-FF
   •  Grisoft: Proxy.JBB


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Creeaza un fisier malware
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Este creat fisierul:

– %SYSDIR%\rpcc.dll



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://193.37.152.88/**********
Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

– Adresa este urmatoarea:
   • http://205.209.179.44/**********
Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

– Adresa este urmatoarea:
   • http://66.185.126.201/**********
Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

– Adresa este urmatoarea:
   • http://66.185.126.34/**********
Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   rpcc]
   • "DllName"="%SYSDIR%\rpcc.dll"
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000001
   • "Startup"="Startup"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts]
   • "Id"=dword:787d1157
   • "Lid"=dword:0000001a

 Email Server MX:
Se poate conecta la unul dintre serverele MX:
   • mindspring.com
   • yahoo.com
   • microsoft.com

 Backdoor Servere contactate:
Urmatorul:
   • %URL din fisierul descarcat%

Astfel se obtine control la distanta.

Posibilitati de control la distanta:
    • descarcare fisier
    • executarea unui fisier
    • trimitere email-uri

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: rpcc.dll

    Urmatoarele procese:
   • svchost.exe
   • winlogon.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • PePack

Die Beschreibung wurde erstellt von Adriana Popa am Freitag, 12. Januar 2007
Die Beschreibung wurde geändert von Adriana Popa am Freitag, 12. Januar 2007

zurück . . . .