Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:TR/ZZDimy.13
Descoperit pe data de:15/05/2009
Tip:Troian
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:13.824 Bytes
MD5:feb9fcb58b7537c47a0Cfc1c00702b50
Versiune IVDF:7.01.03.215 - vineri, 15 mai 2009

 General Alias:
   •  Symantec: Backdoor.Paproxy
   •  Mcafee: Generic Proxy!a trojan !!!
   •  Kaspersky: Trojan.Win32.Agent2.jyy
   •  Panda: W32/Koobface.AD.worm
   •  Eset: a variant of Win32/Tinxy.AD trojan


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Creeaza un fisier malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\SYS32DLL.exe



Sterge copia initiala a virusului.



Sterge urmatorul fisier:
   • C:\SYS32DLL.bat



Este creat fisierul:

C:\SYS32DLL.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.



Incearca sa descarce un fisier:

Adresa este urmatoarea:
   • http://85.13**********/v50/?v=63&s=I&uid=0&p=6004&q=
In plus, acest fisier este executat dupa ce este descarcat de pe Internet. La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "7171:TCP"="7171:TCP:*:Enabled:SYS32DLL"
   • "80:TCP"="80:TCP:*:Enabled:SYS32DLL"



Urmatoarea cheie din registri este modificata:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
   Noua valoare:
   • "ProxyServer"="http=localhost:7171"
   • "ProxyOverride"="*.local;"
   • "ProxyEnable"=dword:00000001

 Backdoor Deschide portul

%SYSDIR%\SYS32DLL.exe pe portul TCP 7171 pentru a functiona ca server HTTP.


Servere contactate:
Unul dintre:
   • yy-d**********.com
   • zz-d**********.com


 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description inserted by Petre Galan on Tuesday, October 6, 2009
Description updated by Andrei Ivanes on Wednesday, October 7, 2009

Back . . . .