English
Deutsch
Español
Italian
Home
Minacce
TR/Proxy.Dlena.AT
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TR/Proxy.Dlena.AT - Trojan
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
TR/Proxy.Dlena.AT
Scoperto:
01/12/2006
Tipo:
Trojan
In circolazione (ITW):
No
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Basso
Potenziale di danni:
Medio
File statico:
Si
Dimensione del file:
29.696 Byte
Somma di controllo MD5:
e7e78b720c8f95b1cc4149853b671d12
Versione VDF:
6.36.01.109
Versione IVDF:
6.36.01.114
Generale
Metodo di propagazione:
• Nessuna propria procedura di propagazione
Alias:
• Kaspersky: Trojan-Proxy.Win32.Dlena.at
• F-Secure: Trojan-Proxy.Win32.Dlena.at
• Sophos: Troj/Proxy-FF
• Grisoft: Proxy.JBB
Piattaforme / Sistemi operativi:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Scarica file
• Clona un file “maligno”
• Modifica del registro
• Accesso e controllo del computer da parte di terzi
File
Viene creato il seguente file:
–
%SYSDIR%
\rpcc.dll
Prova a scaricare dei file:
– La posizione è la seguente:
• http://193.37.152.88/**********
Questo file può contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.
– La posizione è la seguente:
• http://205.209.179.44/**********
Questo file può contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.
– La posizione è la seguente:
• http://66.185.126.201/**********
Questo file può contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.
– La posizione è la seguente:
• http://66.185.126.34/**********
Questo file può contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.
Registro
Vengono aggiunte le seguenti chiavi di registro:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
rpcc]
• "DllName"="
%SYSDIR%
\rpcc.dll"
• "Asynchronous"=dword:00000001
• "Impersonate"=dword:00000001
• "Startup"="Startup"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts]
• "Id"=dword:787d1157
• "Lid"=dword:0000001a
Invio di messaggi
Server MX:
Ha la capacità di contattare uno dei seguenti server MX:
• mindspring.com
• yahoo.com
• microsoft.com
Backdoor
Contatta il server:
Il seguente:
•
%URL dal file scaricato%
Come risultato viene fornita la capacità di controllare da remoto.
Capacità di controllo remoto:
• Download di file
• Eseguire file
• Inviare email
Come il virus si inserisce nei processi
– Inserisce il seguente file in un processo: rpcc.dll
Tutti i seguenti processi:
• svchost.exe
• winlogon.exe
Dettagli del file
Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• PePack
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Adriana Popa il Fri, 12 Jan 2007 11:02 (GMT+1)
Descrizione aggiornata da Adriana Popa il Fri, 12 Jan 2007 11:16 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/Lovgate.W
Worm/Mytob.U
Worm/Klez.E
TR/Dldr.Exchanger.OQ
TR/Dldr.Small.but
TR/Kavimondas.B
TR/Dldr.Agent.73728
JS/Dldr.Iframe.BY
© 2008 Avira GmbH
Copyright
Privacy
Mappa del sito
Feedback
Informazione legale
FAQ
Contatti
Minacce TR/Proxy.Dlena.AT
Print this page
