English
Deutsch
Francais
Español
Italian
Accueil
Menaces
TR/Proxy.Small.bt.3
Recherche
Accueil
Support
Solutions
Produits
Téléchargements
Menaces
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Société
Presse
Partenaires
Newsletter
TR/Proxy.Small.bt.3 - Trojan
A voir aussi
Brève description
Description complète
Statistiques
How would you rate this information?
Worthless
Excellent
Nom:
TR/Proxy.Small.bt.3
La date de la découverte:
20/09/2005
Type:
Cheval de Troie
En circulation:
Non
Infections signalées
Faible
Potentiel de distribution:
Faible
Potentiel de destruction:
Moyen
Fichier statique:
Oui
Taille du fichier:
36.352 Octets
Somme de contrôle MD5:
ec469506177f115016bff393a1d920f1
Version VDF:
6.31.0.112
Général
Méthode de propagation:
• Il ne possède pas de propre routine de propagation
Les alias:
• Symantec: Trojan-Proxy.Win32.Small.bt
• TrendMicro: TROJ_SMALL.AKQ
• Sophos: Troj/Stox-A
• Eset: Win32/TrojanProxy.Small.BT
• Bitdefender: Trojan.Proxy.Win32.Small.BT
Plateformes / Systèmes d'exploitation:
• Windows 96
• Windows 99
• Windows 98 SE
• Windows 2000
• Windows XP
Effets secondaires:
• Il modifie des registres
• Il vole de l'information
Fichiers
Le fichier suivant est créé:
–
%WINDIR%
\inetdata\tmp.req
Registre
La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Microsoft standard protector"="
%le dossier d'exécution du malware%
\
%le fichier exécuté%
"
Il crée les entrées suivantes afin de passer par le Firewall de Windows XP:
– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
• "DoNotAllowExceptions"=dword:00000000
– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\List
• "
%port ouvert%
:TCP"="
%port
ouvert%
:TCP:*:Enabled:Microsoft standard protector"
Porte dérobée
Le port suivant est ouvert:
–
%le fichier exécuté%
sur un port TCP aléatoire afin de fonctionner comme serveur proxy Sock 5.
Serveur de contact:
Le suivant:
• traff-**********.com/affiliate/socks/insert.php?
En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.
Le réponse du serveur est écrit dans le fichier:
%le dossier d'exécution du malware%
\tmp.req
Il envoie de l'information au sujet de:
• Port ouvert
Détails de fichier
Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec les logiciels de compression des exécutables suivants:
• PE_Patch.PECompact
• PecBundle
• PECompact
Voir la description brève
ici
.
Description inséré par Irina Boldea sur Tue, 20 Sep 2005 09:31 (GMT+1)
Description mise à jour par Irina Boldea sur Mon, 26 Sep 2005 16:28 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Retour
Imprimer cette page
Worm/Mytob.AD
TR/Crypt.CFI.Gen
Worm/Klez.E
W32/Elkern.C
Worm/Lovgate.W
TR/Dldr.Renos.CH
TR/Buzus.iij
TR/Dldr.Banload.ins
TR/Banker.Banker.acdq
TR/Dldr.AutoRun.T.2
© 2009 Avira GmbH
Copyright
Domaine privé
Plan du site
Feedback
Marque d’impression
FAQ
Contact
Menaces TR/Proxy.Small.bt.3
Imprimer cette page
