Nome del virus:TR/Proxy.Dlena.AT
Scoperto:01/12/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:29.696 Byte
Somma di controllo MD5:e7e78b720c8f95b1cc4149853b671d12
Versione VDF:6.36.01.109
Versione IVDF:6.36.01.114 - venerdì 1 dicembre 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Proxy.Win32.Dlena.at
   •  F-Secure: Trojan-Proxy.Win32.Dlena.at
   •  Sophos: Troj/Proxy-FF
   •  Grisoft: Proxy.JBB


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file
   • Clona un file “maligno”
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Viene creato il seguente file:

%SYSDIR%\rpcc.dll



Prova a scaricare dei file:

– La posizione è la seguente:
   • http://193.37.152.88/**********
Questo file può contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.

– La posizione è la seguente:
   • http://205.209.179.44/**********
Questo file può contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.

– La posizione è la seguente:
   • http://66.185.126.201/**********
Questo file può contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.

– La posizione è la seguente:
   • http://66.185.126.34/**********
Questo file può contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.

 Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   rpcc]
   • "DllName"="%SYSDIR%\rpcc.dll"
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000001
   • "Startup"="Startup"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts]
   • "Id"=dword:787d1157
   • "Lid"=dword:0000001a

 Invio di messaggi Server MX:
Ha la capacità di contattare uno dei seguenti server MX:
   • mindspring.com
   • yahoo.com
   • microsoft.com

 Backdoor Contatta il server:
Il seguente:
   • %URL dal file scaricato%

Come risultato viene fornita la capacità di controllare da remoto.

Capacità di controllo remoto:
    • Download di file
    • Eseguire file
    • Inviare email

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: rpcc.dll

    Tutti i seguenti processi:
   • svchost.exe
   • winlogon.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • PePack

Descrizione inserita da Adriana Popa su venerdì 12 gennaio 2007
Descrizione aggiornata da Adriana Popa su venerdì 12 gennaio 2007

Indietro . . . .