Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/ZZDimy.13
Entdeckt am:15/05/2009
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:13.824 Bytes
MD5 Prfsumme:feb9fcb58b7537c47a0Cfc1c00702b50
IVDF Version:7.01.03.215 - Freitag, 15. Mai 2009

 General Aliases:
   •  Symantec: Backdoor.Paproxy
   •  Mcafee: Generic Proxy!a trojan !!!
   •  Kaspersky: Trojan.Win32.Agent2.jyy
   •  Panda: W32/Koobface.AD.worm
   •  Eset: a variant of Win32/Tinxy.AD trojan


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt eine schdliche Dateien herunter
   • Erstellt eine potentiell gefhrliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\SYS32DLL.exe



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.



Folgende Datei wird gelscht:
   • C:\SYS32DLL.bat



Es wird folgende Datei erstellt:

C:\SYS32DLL.bat Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu lschen.



Es wird versucht folgende Datei herunterzuladen:

Die URL ist folgende:
   • http://85.13**********/v50/?v=63&s=I&uid=0&p=6004&q=
Des Weiteren wird diese Datei ausgefhrt nachdem sie vollstndig heruntergeladen wurde. Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

 Registry Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "7171:TCP"="7171:TCP:*:Enabled:SYS32DLL"
   • "80:TCP"="80:TCP:*:Enabled:SYS32DLL"



Folgender Registryschlssel wird gendert:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
   Neuer Wert:
   • "ProxyServer"="http=localhost:7171"
   • "ProxyOverride"="*.local;"
   • "ProxyEnable"=dword:00000001

 Hintertr Der folgende Port wird geffnet:

%SYSDIR%\SYS32DLL.exe am TCP Port 7171 um einen HTTP Server zur Verfgung zu stellen.


Kontaktiert Server:
Einer der folgenden:
   • yy-d**********.com
   • zz-d**********.com


 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Petre Galan am Dienstag, 6. Oktober 2009
Die Beschreibung wurde geändert von Andrei Ivanes am Mittwoch, 7. Oktober 2009

zurück . . . .