Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/ZZDimy.13
La date de la découverte:15/05/2009
Type:Cheval de Troie
En circulation:Oui
Infections signalées Moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:13.824 Octets
Somme de contrôle MD5:feb9fcb58b7537c47a0Cfc1c00702b50
Version IVDF:7.01.03.215 - vendredi 15 mai 2009

 Général Les alias:
   •  Symantec: Backdoor.Paproxy
   •  Mcafee: Generic Proxy!a trojan !!!
   •  Kaspersky: Trojan.Win32.Agent2.jyy
   •  Panda: W32/Koobface.AD.worm
   •  Eset: a variant of Win32/Tinxy.AD trojan


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée un fichier malveillant
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\SYS32DLL.exe



Il supprime sa propre copie, exécutée initialement



Il supprime le fichier suivant:
   • C:\SYS32DLL.bat



Le fichier suivant est créé:

– C:\SYS32DLL.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.



Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://85.13**********/v50/?v=63&s=I&uid=0&p=6004&q=
Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "7171:TCP"="7171:TCP:*:Enabled:SYS32DLL"
   • "80:TCP"="80:TCP:*:Enabled:SYS32DLL"



La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
   La nouvelle valeur:
   • "ProxyServer"="http=localhost:7171"
   • "ProxyOverride"="*.local;"
   • "ProxyEnable"=dword:00000001

 Porte dérobée Le port suivant est ouvert:

%SYSDIR%\SYS32DLL.exe sur le port TCP 7171 afin de fournir un serveur HTTP


Serveur de contact:
Un des suivants::
   • yy-d**********.com
   • zz-d**********.com


 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Petre Galan le mardi 6 octobre 2009
Description mise à jour par Andrei Ivanes le mercredi 7 octobre 2009

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.