¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/ZZDimy.13
Descubierto:15/05/2009
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:13.824 Bytes
Suma de control MD5:feb9fcb58b7537c47a0Cfc1c00702b50
Versión del IVDF:7.01.03.215 - viernes, 15 de mayo de 2009

 General Alias:
   •  Symantec: Backdoor.Paproxy
   •  Mcafee: Generic Proxy!a trojan !!!
   •  Kaspersky: Trojan.Win32.Agent2.jyy
   •  Panda: W32/Koobface.AD.worm
   •  Eset: a variant of Win32/Tinxy.AD trojan


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Suelta un fichero dañino
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\SYS32DLL.exe



Elimina la copia inicial del virus.



Elimina el siguiente fichero:
   • C:\SYS32DLL.bat



Crea el siguiente fichero:

– C:\SYS32DLL.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.



Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://85.13**********/v50/?v=63&s=I&uid=0&p=6004&q=
Además, este fichero es ejecutado después de haber sido descargago. Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "7171:TCP"="7171:TCP:*:Enabled:SYS32DLL"
   • "80:TCP"="80:TCP:*:Enabled:SYS32DLL"



Modifica la siguiente clave del registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
   Nuevo valor:
   • "ProxyServer"="http=localhost:7171"
   • "ProxyOverride"="*.local;"
   • "ProxyEnable"=dword:00000001

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%SYSDIR%\SYS32DLL.exe en el puerto TCP 7171 para funcionar como servidor HTTP.


Servidor contactado:
Uno de los siguientes:
   • yy-d**********.com
   • zz-d**********.com


 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Petre Galan el martes, 6 de octubre de 2009
Descripción actualizada por Andrei Ivanes el miércoles, 7 de octubre de 2009

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.