TR/Proxy.Delf.AA.2 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Proxy.Delf.AA.2
La date de la découverte:	28/11/2005
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	14.848 Octets
Somme de contrôle MD5:	399620492b3e054b84caecae975aba95
Version VDF:	6.32.00.223

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

L'alias:
   • Kaspersky: Trojan-Proxy.Win32.Delf.aa

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il emploie son propre moteur de courrier électronique

Fichiers Le fichier suivant est créé:

– %le dossier d'exécution du malware%\mm.pid

Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
• http://wm.kanny**********.info/cgi-bin5/repeaterm.fcgi?n=%plusieurs nombres aléatoires de 0 à 9%&lastid=&rand=%%plusieurs nombres aléatoires de 0 à 9%.%plusieurs nombres aléatoires de 0 à 9%e-0001
Ce fichier peut contenir de l'information liée à la fonction de spam du malware.

Email Il contient un moteur SMTP intégré pour envoyer des emails SPAM. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

De:
Adresses recueillies sur Internet. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il se pourrait qu'il ignore être infecté comme il pourrait ne pas l'être du tout. En outre il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.

A:
– Adresses recueillies de l'Internet.

Envoie de messages Recueillir des adresses:
Il recueille des adresses en entrant en contact avec le site web suivant:
• http://wm.kanny**********.info/cgi-bin5/repeaterm.fcgi?n=%plusieurs nombres aléatoires de 0 à 9%&lastid=&rand=%%plusieurs nombres aléatoires de 0 à 9%.%plusieurs nombres aléatoires de 0 à 9%e-0001

Porte dérobée Serveur de contact:
Le suivant:
• http://wm.**********ciya.info/cgi-bin5/receiver.fcgi?id=%plusieurs nombres aléatoires de 0 à 9%&sent=%plusieurs nombres aléatoires de 0 à 9%&lost=&drop=&acc=

En conséquence il peut envoyer de l'information.

Il envoie de l'information au sujet de:
• Le statut courant du malware

Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Iulia Diaconescu sur Mon, 28 Nov 2005 16:01 (GMT+1)
Description mise à jour par Iulia Diaconescu sur Wed, 07 Dec 2005 13:17 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour