Description complète

Nom:	TR/Proxy.Delf.AA.2
La date de la découverte:	28/11/2005
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	14.848 Octets
Somme de contrôle MD5:	399620492b3e054b84caecae975aba95
Version VDF:	6.32.00.223

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

L'alias:
   • Kaspersky: Trojan-Proxy.Win32.Delf.aa

Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il emploie son propre moteur de courrier électronique

Fichiers Le fichier suivant est créé:

– %le dossier d'exécution du malware%\mm.pid

Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
• http://wm.kanny**********.info/cgi-bin5/repeaterm.fcgi?n=%plusieurs chiffres aléatoires%&lastid=&rand=%%plusieurs chiffres aléatoires%.%plusieurs chiffres aléatoires%e-0001
Ce fichier peut contenir de l'information liée à la fonction de spam du malware.

Email Il contient un moteur SMTP intégré pour envoyer des emails SPAM. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

De:
Adresses recueillies sur Internet. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il se pourrait qu'il ignore être infecté comme il pourrait ne pas l'être du tout. En outre il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.

A:
– Adresses recueillies de l'Internet

Envoie de messages Recueillir des adresses:
Il recueille des adresses en entrant en contact avec le site web suivant:
• http://wm.kanny**********.info/cgi-bin5/repeaterm.fcgi?n=%plusieurs chiffres aléatoires%&lastid=&rand=%%plusieurs chiffres aléatoires%.%plusieurs chiffres aléatoires%e-0001

Porte dérobée Serveur de contact:
Le suivant:
• http://wm.**********ciya.info/cgi-bin5/receiver.fcgi?id=%plusieurs chiffres aléatoires%&sent=%plusieurs chiffres aléatoires%&lost=&drop=&acc=

En conséquence il peut envoyer de l'information.

Il envoie de l'information au sujet de:
• Le statut courant du malware

Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Description insérée par Iulia Diaconescu le lundi 28 novembre 2005
Description mise à jour par Iulia Diaconescu le mercredi 7 décembre 2005

Retour . . . .