Nome del virus:TR/Proxy.Wopla.W
Scoperto:07/05/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
File statico:Si
Dimensione del file:40.960 Byte
Somma di controllo MD5:f53a5214c750dedbfb6dfe50ef3ae959
Versione VDF:6.34.01.45
Versione IVDF:6.34.01.46 - lunedì 8 maggio 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Trojan.Tannick.B
   •  Mcafee: Downloader-JF
   •  Kaspersky: Trojan-Proxy.Win32.Wopla.x
   •  TrendMicro: TROJ_WOPLA.V
   •  Sophos: Troj/Slogger-K
   •  VirusBuster: trojan Trojan.PR.Wopla.M
   •  Bitdefender: Trojan.Proxy.Wopla.X


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro

 Registro Viene aggiunta la seguente chiave di registro:

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
   • "Placeholder_Databt"="%valori esadecimali%"

 Email Contiene un motore SMTP integrato per inviare spam. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
Indirizzi recuperati da internet. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi recuperati da internet.


Oggetto:
Il seguente:
   • %recuperato da internet%



Corpo dell'email:
Il corpo dell’email è come il seguente:
   • %recuperato da internet%



L’email si presenta come di seguito:


 Invio di messaggi Raccolta di indirizzi:
Recupera gli indirizzi contattando il seguente sito web:
   • http://208.66.195.44:8080

 Backdoor Contatta il server:
Il seguente:
   • http://bt.secdep.**********



Capacità di controllo remoto:
    • Inviare email

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Ionut Slaveanu su martedì 1 agosto 2006
Descrizione aggiornata da Ionut Slaveanu su martedì 1 agosto 2006

Indietro . . . .