Nom:TR/Proxy.Dlena.AT
La date de la découverte:01/12/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:29.696 Octets
Somme de contrôle MD5:e7e78b720c8f95b1cc4149853b671d12
Version VDF:6.36.01.109
Version IVDF:6.36.01.114 - vendredi 1 décembre 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Proxy.Win32.Dlena.at
   •  F-Secure: Trojan-Proxy.Win32.Dlena.at
   •  Sophos: Troj/Proxy-FF
   •  Grisoft: Proxy.JBB


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Le fichier suivant est créé:

%SYSDIR%\rpcc.dll



Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://193.37.152.88/**********
Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

– L'emplacement est le suivant:
   • http://205.209.179.44/**********
Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

– L'emplacement est le suivant:
   • http://66.185.126.201/**********
Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

– L'emplacement est le suivant:
   • http://66.185.126.34/**********
Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

 Registre Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   rpcc]
   • "DllName"="%SYSDIR%\rpcc.dll"
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000001
   • "Startup"="Startup"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts]
   • "Id"=dword:787d1157
   • "Lid"=dword:0000001a

 Envoie de messages Serveur MX:
Il a la capacité de contacter un des serveurs MX suivants:
   • mindspring.com
   • yahoo.com
   • microsoft.com

 Porte dérobée Serveur de contact:
Le suivant:
   • %URL du fichier téléchargé%

En conséquence la possibilité de contrôle à distance est fournie.

Capacités d'accès à distance:
    • Télécharger un fichier
    • Exécuter un fichier
    • Envoyer des e-mails

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: rpcc.dll

    Tous les processus suivants:
   • svchost.exe
   • winlogon.exe


 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • PePack

Description insérée par Adriana Popa le vendredi 12 janvier 2007
Description mise à jour par Adriana Popa le vendredi 12 janvier 2007

Retour . . . .