¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/ZZDimy.13
Descubierto:15/05/2009
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:S
Tamao:13.824 Bytes
Suma de control MD5:feb9fcb58b7537c47a0Cfc1c00702b50
Versin del IVDF:7.01.03.215 - viernes 15 de mayo de 2009

 General Alias:
   •  Symantec: Backdoor.Paproxy
   •  Mcafee: Generic Proxy!a trojan !!!
   •  Kaspersky: Trojan.Win32.Agent2.jyy
   •  Panda: W32/Koobface.AD.worm
   •  Eset: a variant of Win32/Tinxy.AD trojan


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero daino
   • Suelta un fichero daino
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\SYS32DLL.exe



Elimina la copia inicial del virus.



Elimina el siguiente fichero:
   • C:\SYS32DLL.bat



Crea el siguiente fichero:

C:\SYS32DLL.bat Adems, el fichero es ejecutado despus de haber sido creado. Este fichero batch es empleado para eliminar un fichero.



Intenta descargar un fichero:

La direccin es la siguiente:
   • http://85.13**********/v50/?v=63&s=I&uid=0&p=6004&q=
Adems, este fichero es ejecutado despus de haber sido descargago. Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

 Registro Crea la siguiente entrada para evitar el cortafuego de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "7171:TCP"="7171:TCP:*:Enabled:SYS32DLL"
   • "80:TCP"="80:TCP:*:Enabled:SYS32DLL"



Modifica la siguiente clave del registro:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
   Nuevo valor:
   • "ProxyServer"="http=localhost:7171"
   • "ProxyOverride"="*.local;"
   • "ProxyEnable"=dword:00000001

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%SYSDIR%\SYS32DLL.exe en el puerto TCP 7171 para funcionar como servidor HTTP.


Servidor contactado:
Uno de los siguientes:
   • yy-d**********.com
   • zz-d**********.com


 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • UPX

Descripción insertada por Petre Galan el martes 6 de octubre de 2009
Descripción actualizada por Andrei Ivanes el miércoles 7 de octubre de 2009

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.