VírusTR/Proxy.Ranky.EC.1
Data em que surgiu:18/08/2005
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:26.624 Bytes
MD5 checksum:0F3552745EC123000CC8807F069B80A2
Versão VDF:6.31.1.120

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-Proxy.Win32.Ranky.z
   •  VirusBuster: Trojan.PR.Ranck.GE


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Wasdwwsa"="%directório de execução do malware%\%ficheiro executado%"

 Backdoor São abertas as seguintes portas:

%directório de execução do malware%\%ficheiro executado% numa porta UDP 1042
%directório de execução do malware%\%ficheiro executado% numa porta TCP aleatória


Contacta o servidor:
Seguintes:
   • http://www.**********-gmbh.com/a.php
   • http://**********.akill.info/a.php
   • http://**********.mine.nu/a.php
   • http://**********qgegd.com/a.php
   • http://suckmy**********.com/a.php

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP GET através de scripts PHP.
A resposta do servidors é escrita no ficheiro: %directório de execução do malware%\VEdqwdqw


Envia informação sobre:
    • Porta aberta

Descrição enviada por Andrei Gherman em quinta-feira, 18 de agosto de 2005
Descrição atualizada por Andrei Gherman em sexta-feira, 26 de agosto de 2005

Voltar . . . .