Nom:TR/Proxy.Ranky.EC.1
La date de la découverte:18/08/2005
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:26.624 Octets
Somme de contrôle MD5:0F3552745EC123000CC8807F069B80A2
Version VDF:6.31.1.120

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Proxy.Win32.Ranky.z
   •  VirusBuster: Trojan.PR.Ranck.GE


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Wasdwwsa"="%le dossier d'exécution du malware%\%le fichier exécuté%"

 Porte dérobée Les ports suivants sont ouverts:

%le dossier d'exécution du malware%\%le fichier exécuté% sur le port UDP 1042
%le dossier d'exécution du malware%\%le fichier exécuté% sur un port TCP aléatoire


Serveur de contact:
Tous les suivants:
   • http://www.**********-gmbh.com/a.php
   • http://**********.akill.info/a.php
   • http://**********.mine.nu/a.php
   • http://**********qgegd.com/a.php
   • http://suckmy**********.com/a.php

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.
Le réponse du serveur est écrit dans le fichier: %le dossier d'exécution du malware%\VEdqwdqw


Il envoie de l'information au sujet de:
    • Port ouvert

Description insérée par Andrei Gherman le jeudi 18 août 2005
Description mise à jour par Andrei Gherman le vendredi 26 août 2005

Retour . . . .