TR/ZZDimy.13 - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/ZZDimy.13
Scoperto:	15/05/2009
Tipo:	Trojan
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Medio
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	13.824 Byte
Somma di controllo MD5:	feb9fcb58b7537c47a0Cfc1c00702b50
Versione IVDF:	7.01.03.215

Generale Alias:
   • Symantec: Backdoor.Paproxy
   • Mcafee: Generic Proxy!a trojan !!!
   • Kaspersky: Trojan.Win32.Agent2.jyy
   • Panda: W32/Koobface.AD.worm
   • Eset: a variant of Win32/Tinxy.AD trojan

Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Scarica un file “maligno”
   • Clona un file “maligno”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

File Si copia alla seguente posizione:
   • %SYSDIR%\SYS32DLL.exe

Cancella la copia di se stesso eseguita inizialmente.

Cancella il seguente file:
   • C:\SYS32DLL.bat

Viene creato il seguente file:

– C:\SYS32DLL.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.

Prova a scaricare un file:

– La posizione è la seguente:
   • http://85.13**********/v50/?v=63&s=I&uid=0&p=6004&q=
Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era più disponibile.

Registro Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "7171:TCP"="7171:TCP:*:Enabled:SYS32DLL"
   • "80:TCP"="80:TCP:*:Enabled:SYS32DLL"

Viene cambiata la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
   Nuovo valore:
   • "ProxyServer"="http=localhost:7171"
   • "ProxyOverride"="*.local;"
   • "ProxyEnable"=dword:00000001

Backdoor Viene aperta la seguente porta:

– %SYSDIR%\SYS32DLL.exe sulla porta TCP 7171 con lo scopo di procurarsi un server HTTP.

Contatta il server:
Uno dei seguenti:
• yy-d**********.com
• zz-d**********.com

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Petre Galan il Tue, 06 Oct 2009 15:58 (GMT+1)
Descrizione aggiornata da Andrei Ivanes il Wed, 07 Oct 2009 13:10 (GMT+1)

» Informazioni sul malware
» Informazioni sul phishing
» Viruses In the Wild

« Indietro