English
Deutsch
Français
Español
Italiano
Home
Minacce
TR/ZZDimy.13
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TechBlog
TR/ZZDimy.13 - Trojan
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
TR/ZZDimy.13
Scoperto:
15/05/2009
Tipo:
Trojan
In circolazione (ITW):
Si
Numero delle infezioni segnalate:
Medio
Potenziale di propagazione:
Medio
Potenziale di danni:
Medio
File statico:
Si
Dimensione del file:
13.824 Byte
Somma di controllo MD5:
feb9fcb58b7537c47a0Cfc1c00702b50
Versione IVDF:
7.01.03.215
Generale
Alias:
• Symantec: Backdoor.Paproxy
• Mcafee: Generic Proxy!a trojan !!!
• Kaspersky: Trojan.Win32.Agent2.jyy
• Panda: W32/Koobface.AD.worm
• Eset: a variant of Win32/Tinxy.AD trojan
Piattaforme / Sistemi operativi:
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Scarica un file “maligno”
• Clona un file “maligno”
• Abbassa le impostazioni di sicurezza
• Modifica del registro
File
Si copia alla seguente posizione:
•
%SYSDIR%
\SYS32DLL.exe
Cancella la copia di se stesso eseguita inizialmente.
Cancella il seguente file:
• C:\SYS32DLL.bat
Viene creato il seguente file:
– C:\SYS32DLL.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.
Prova a scaricare un file:
– La posizione è la seguente:
• http://85.13**********/v50/?v=63&s=I&uid=0&p=6004&q=
Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era più disponibile.
Registro
Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
• "7171:TCP"="7171:TCP:*:Enabled:SYS32DLL"
• "80:TCP"="80:TCP:*:Enabled:SYS32DLL"
Viene cambiata la seguente chiave di registro:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
Nuovo valore:
• "ProxyServer"="http=localhost:7171"
• "ProxyOverride"="*.local;
"
• "ProxyEnable"=dword:00000001
Backdoor
Viene aperta la seguente porta:
–
%SYSDIR%
\SYS32DLL.exe sulla porta TCP 7171 con lo scopo di procurarsi un server HTTP.
Contatta il server:
Uno dei seguenti:
• yy-d**********.com
• zz-d**********.com
Dettagli del file
Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.
Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Petre Galan il Tue, 06 Oct 2009 15:58 (GMT+1)
Descrizione aggiornata da Andrei Ivanes il Wed, 07 Oct 2009 13:10 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Ricevete messaggi aggiornati da Avira in formato
Riconosce e rimuove un malware specifico e le relative varianti.
Scarica qui
Incorporate sul vostro sito Web la visualizzazione di un
avviso in caso di virus
© 2009 Avira GmbH
Copyright
|
Protezione dei dati
|
Mappa del sito
|
Feedback
|
Informazione legale
|
FAQ
|
Contatti
Minacce TR/ZZDimy.13
Stampa questa pagina
.gif)
