Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/ZZDimy.13
Scoperto:15/05/2009
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:13.824 Byte
Somma di controllo MD5:feb9fcb58b7537c47a0Cfc1c00702b50
Versione IVDF:7.01.03.215 - venerdì 15 maggio 2009

 Generale Alias:
   •  Symantec: Backdoor.Paproxy
   •  Mcafee: Generic Proxy!a trojan !!!
   •  Kaspersky: Trojan.Win32.Agent2.jyy
   •  Panda: W32/Koobface.AD.worm
   •  Eset: a variant of Win32/Tinxy.AD trojan


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file maligno
   • Clona un file maligno
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\SYS32DLL.exe



Cancella la copia di se stesso eseguita inizialmente.



Cancella il seguente file:
   • C:\SYS32DLL.bat



Viene creato il seguente file:

C:\SYS32DLL.bat Viene eseguito ulteriormente dopo che stato completamente creato. Questo file automatico utilizzato per cancellare un file.



Prova a scaricare un file:

La posizione la seguente:
   • http://85.13**********/v50/?v=63&s=I&uid=0&p=6004&q=
Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era pi disponibile.

 Registro Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "7171:TCP"="7171:TCP:*:Enabled:SYS32DLL"
   • "80:TCP"="80:TCP:*:Enabled:SYS32DLL"



Viene cambiata la seguente chiave di registro:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
   Nuovo valore:
   • "ProxyServer"="http=localhost:7171"
   • "ProxyOverride"="*.local;"
   • "ProxyEnable"=dword:00000001

 Backdoor Viene aperta la seguente porta:

%SYSDIR%\SYS32DLL.exe sulla porta TCP 7171 con lo scopo di procurarsi un server HTTP.


Contatta il server:
Uno dei seguenti:
   • yy-d**********.com
   • zz-d**********.com


 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Petre Galan su martedì 6 ottobre 2009
Descrizione aggiornata da Andrei Ivanes su mercoledì 7 ottobre 2009

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.