Nome del virus:TR/Proxy.Ranky.EC.1
Scoperto:18/08/2005
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:26.624 Byte
Somma di controllo MD5:0F3552745EC123000CC8807F069B80A2
Versione VDF:6.31.1.120

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Proxy.Win32.Ranky.z
   •  VirusBuster: Trojan.PR.Ranck.GE


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Wasdwwsa"="%directory di esecuzione del malware%\%file eseguiti%"

 Backdoor Le seguenti porte sono aperte:

%directory di esecuzione del malware%\%file eseguiti% sulla porta UDP 1042
%directory di esecuzione del malware%\%file eseguiti% su una porta TCP casuale


Contatta il server:
Tutti i seguenti:
   • http://www.**********-gmbh.com/a.php
   • http://**********.akill.info/a.php
   • http://**********.mine.nu/a.php
   • http://**********qgegd.com/a.php
   • http://suckmy**********.com/a.php

Come risultato può inviare alcune informazioni. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.
La risposta dei server è scritta nel file: %directory di esecuzione del malware%\VEdqwdqw


Invia informazioni riguardanti:
    • Porta aperta

Descrizione inserita da Andrei Gherman su giovedì 18 agosto 2005
Descrizione aggiornata da Andrei Gherman su venerdì 26 agosto 2005

Indietro . . . .