Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/ZZDimy.13
La date de la dcouverte:15/05/2009
Type:Cheval de Troie
En circulation:Oui
Infections signales Moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:13.824 Octets
Somme de contrle MD5:feb9fcb58b7537c47a0Cfc1c00702b50
Version IVDF:7.01.03.215 - vendredi 15 mai 2009

 Gnral Les alias:
   •  Symantec: Backdoor.Paproxy
   •  Mcafee: Generic Proxy!a trojan !!!
   •  Kaspersky: Trojan.Win32.Agent2.jyy
   •  Panda: W32/Koobface.AD.worm
   •  Eset: a variant of Win32/Tinxy.AD trojan


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il tlcharge un fichier malveillant
   • Il cre un fichier malveillant
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\SYS32DLL.exe



Il supprime sa propre copie, excute initialement



Il supprime le fichier suivant:
   • C:\SYS32DLL.bat



Le fichier suivant est cr:

C:\SYS32DLL.bat Ensuite, il est excut aprs avoir t completment cre. Ce fichier squentiel est employ pour effacer un fichier.



Il essaie de tlcharger un ficher:

L'emplacement est le suivant:
   • http://85.13**********/v50/?v=63&s=I&uid=0&p=6004&q=
Ensuite, ce fichier est excut aprs avoir t completment tlcharg. Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

 Registre Il cre l'entre suivante afin de passer par le Firewall de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "7171:TCP"="7171:TCP:*:Enabled:SYS32DLL"
   • "80:TCP"="80:TCP:*:Enabled:SYS32DLL"



La cl de registre suivante est change:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
   La nouvelle valeur:
   • "ProxyServer"="http=localhost:7171"
   • "ProxyOverride"="*.local;"
   • "ProxyEnable"=dword:00000001

 Porte drobe Le port suivant est ouvert:

%SYSDIR%\SYS32DLL.exe sur le port TCP 7171 afin de fournir un serveur HTTP


Serveur de contact:
Un des suivants::
   • yy-d**********.com
   • zz-d**********.com


 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • UPX

Description insérée par Petre Galan le mardi 6 octobre 2009
Description mise à jour par Andrei Ivanes le mercredi 7 octobre 2009

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.