Nome del virus:TR/Proxy.Ranky.FX.2
Scoperto:08/01/2007
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:20.308 Byte
Somma di controllo MD5:17bc0ca72086eee8e847532e73c1a7cc
Versione VDF:6.36.00.219
Versione IVDF:6.36.00.243 - lunedì 6 novembre 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: Proxy-FBSR
   •  Kaspersky: Trojan-Proxy.Win32.Ranky.fx
   •  Grisoft: Proxy.HKE
   •  Bitdefender: Win32.Backdoor


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Rolcopteur"="%directory di esecuzione del malware%\%file eseguiti%"

 Backdoor Viene aperta la seguente porta:

%directory di esecuzione del malware%\%file eseguiti% su una porta TCP casuale con lo scopo di procurarsi un server proxy Socks 4.


Contatta il server:
Tutti i seguenti:
   • http://www.rogerr.homeunix.net/**********
   • http://www.omygodd.net/**********
   • http://www.roger.bounceme.net/**********
   • http://www.vcdf.hopto.org/**********
   • http://www.dnsme.mine.nu/**********

Come risultato può inviare alcune informazioni. La risposta dei server è scritta nel file: c:\fqecqv


Invia informazioni riguardanti:
    • Porta aperta

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • LSASS.exe


 Varie Mutex:
In più contiene la seguente stringa:
   • AllAlone

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Monica Ghitun su lunedì 8 gennaio 2007
Descrizione aggiornata da Monica Ghitun su giovedì 11 gennaio 2007

Indietro . . . .