//start foreach
English
//start foreach
Deutsch
//start foreach
Français
//start foreach
Español
//start foreach
Italiano
//start foreach
Русский
//start foreach
日本語
//start foreach
Português
Portal
Amenazas
TR/Proxy.Dlena.AT
Búsqueda
Portal
Soporte
Soluciones
Productos
Descargas
Amenazas
Estadísticas
Mapamundi de Phishing
Historial de VDF
Información sobre virus
Cargar archivo
Noticias de seguridad
Virus "In the Wild"
Compañía
Prensa
Socios
Newsletter
TechBlog
TR/Proxy.Dlena.AT - Trojan
Vea también
Resumen
Descripción completa
Estadísticas
How would you rate this information?
Worthless
Excellent
Nombre:
TR/Proxy.Dlena.AT
Descubierto:
01/12/2006
Tipo:
Troyano
En circulación (ITW):
No
Número de infecciones comunicadas:
Bajo
Potencial de propagación:
Bajo
Potencial dañino:
Medio
Fichero estático:
Sí
Tamaño:
29.696 Bytes
Suma de control MD5:
e7e78b720c8f95b1cc4149853b671d12
Versión del VDF:
6.36.01.109
Versión del IVDF:
6.36.01.114
General
Método de propagación:
• No tiene rutina propia de propagación
Alias:
• Kaspersky: Trojan-Proxy.Win32.Dlena.at
• F-Secure: Trojan-Proxy.Win32.Dlena.at
• Sophos: Troj/Proxy-FF
• Grisoft: Proxy.JBB
Plataformas / Sistemas operativos:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Efectos secundarios:
• Descarga ficheros
• Suelta un fichero dañino
• Modificaciones en el registro
• Posibilita el acceso no autorizado al ordenador
Ficheros
Crea el siguiente fichero:
–
%SYSDIR%
\rpcc.dll
Intenta descargar algunos ficheros:
– La dirección es la siguiente:
• http://193.37.152.88/**********
This file may contain further download locations (es)
– La dirección es la siguiente:
• http://205.209.179.44/**********
This file may contain further download locations (es)
– La dirección es la siguiente:
• http://66.185.126.201/**********
This file may contain further download locations (es)
– La dirección es la siguiente:
• http://66.185.126.34/**********
This file may contain further download locations (es)
Registro
Añade las siguientes claves al registro:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
rpcc]
• "DllName"="
%SYSDIR%
\rpcc.dll"
• "Asynchronous"=dword:00000001
• "Impersonate"=dword:00000001
• "Startup"="Startup"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts]
• "Id"=dword:787d1157
• "Lid"=dword:0000001a
Envio de mensajes
Servidor MX:
Puede conectarse a uno de los servidores MX:
• mindspring.com
• yahoo.com
• microsoft.com
Backdoor (Puerta trasera)
Servidor contactado:
La siguiente:
•
%URL del fichero descargado%
De esta forma obtiene el control remoto.
Capabilidades de control remoto:
• Descargar fichero
• Ejecutar fichero
• Enviar mensajes de correo
Inyectar el código viral en otros procesos
– Inyecta el siguiente fichero en un proceso: rpcc.dll
Los siguientes procesos:
• svchost.exe
• winlogon.exe
Datos del fichero
Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• PePack
Para una breve descripción vea el resumen
aquí
.
Descripción insertada por Adriana Popa el Fri, 12 Jan 2007 11:02 (GMT+1)
Descripción actualizada por Adriana Popa el Fri, 12 Jan 2007 11:16 (GMT+1)
»
About Malware
»
About Phishing
»
Virus "In the Wild"
« volver
Imprimir esta página
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
HTML/Crypted.Gen
TR/Rootkit.Gen
W32/Sality.Y
TR/Spy.ZBot.adnj
Worm/VB.CZ.14.A
Worm/Net.Kolab.ffa
Worm/Slenping.67072B
TR/Buzus.crty.16
Recibir de forma sencilla noticias actuales de Avira como
Detecta y elimina determinado malware y sus variantes.
Descargar aquí
Integrar la
Advertencia de virus
en su sitio web
© 2010 Avira GmbH
Copyright
|
Protección de datos
|
Mapa web
|
Feedback
|
Pie de imprenta
|
FAQ
|
Contacto
Amenazas TR/Proxy.Dlena.AT
Imprimir esta página
.gif)
