English
Deutsch
Francais
Español
Italian
Portal
Amenazas
TR/Proxy.Dlena.AT
Búsqueda
Portal
Soporte
Soluciones
Productos
Descargas
Amenazas
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Compañía
Prensa
Socios
Newsletter
TR/Proxy.Dlena.AT - Trojan
Vea también
Resumen
Descripción completa
Estadísticas
How would you rate this information?
Worthless
Excellent
Nombre:
TR/Proxy.Dlena.AT
Descubierto:
01/12/2006
Tipo:
Troyano
En circulación (ITW):
No
Número de infecciones comunicadas:
Bajo
Potencial de propagación:
Bajo
Potencial dañino:
Medio
Fichero estático:
Sí
Tamaño:
29.696 Bytes
Suma de control MD5:
e7e78b720c8f95b1cc4149853b671d12
Versión del VDF:
6.36.01.109
Versión del IVDF:
6.36.01.114
General
Método de propagación:
• No tiene rutina propia de propagación
Alias:
• Kaspersky: Trojan-Proxy.Win32.Dlena.at
• F-Secure: Trojan-Proxy.Win32.Dlena.at
• Sophos: Troj/Proxy-FF
• Grisoft: Proxy.JBB
Plataformas / Sistemas operativos:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Efectos secundarios:
• Descarga ficheros
• Suelta un fichero dañino
• Modificaciones en el registro
• Posibilita el acceso no autorizado al ordenador
Ficheros
Crea el siguiente fichero:
–
%SYSDIR%
\rpcc.dll
Intenta descargar algunos ficheros:
– La dirección es la siguiente:
• http://193.37.152.88/**********
This file may contain further download locations (es)
– La dirección es la siguiente:
• http://205.209.179.44/**********
This file may contain further download locations (es)
– La dirección es la siguiente:
• http://66.185.126.201/**********
This file may contain further download locations (es)
– La dirección es la siguiente:
• http://66.185.126.34/**********
This file may contain further download locations (es)
Registro
Añade las siguientes claves al registro:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
rpcc]
• "DllName"="
%SYSDIR%
\rpcc.dll"
• "Asynchronous"=dword:00000001
• "Impersonate"=dword:00000001
• "Startup"="Startup"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts]
• "Id"=dword:787d1157
• "Lid"=dword:0000001a
Envio de mensajes
Servidor MX:
Puede conectarse a uno de los servidores MX:
• mindspring.com
• yahoo.com
• microsoft.com
Backdoor (Puerta trasera)
Servidor contactado:
La siguiente:
•
%URL del fichero descargado%
De esta forma obtiene el control remoto.
Capabilidades de control remoto:
• Descargar fichero
• Ejecutar fichero
• Enviar mensajes de correo
Inyectar el código viral en otros procesos
– Inyecta el siguiente fichero en un proceso: rpcc.dll
Los siguientes procesos:
• svchost.exe
• winlogon.exe
Datos del fichero
Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• PePack
Para una breve descripción vea el resumen
aquí
.
Descripción insertada por Adriana Popa el Fri, 12 Jan 2007 11:02 (GMT+1)
Descripción actualizada por Adriana Popa el Fri, 12 Jan 2007 11:16 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« volver
Imprimir esta página
TR/Crypt.CFI.Gen
Worm/Mytob.AD
Worm/Kidala.G
Worm/Mytob.BF
Worm/Mytob.AT
TR/Spy.ZBot.DFR
TR/VB.aei
EXP/Java.Gimsh.A.40
TR/Agent.vgo
SPR/ASF.GetCodec.Gen
© 2008 Avira GmbH
Copyright
Protección de datos
Mapa web
Feedback
Pie de imprenta
FAQ
Contacto
Amenazas TR/Proxy.Dlena.AT
Imprimir esta página
