Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/ZZDimy.13
Data em que surgiu:15/05/2009
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Médio
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:13.824 Bytes
MD5 checksum:feb9fcb58b7537c47a0Cfc1c00702b50
Versão IVDF:7.01.03.215 - sexta-feira, 15 de maio de 2009

 Vulgarmente Alias:
   •  Symantec: Backdoor.Paproxy
   •  Mcafee: Generic Proxy!a trojan !!!
   •  Kaspersky: Trojan.Win32.Agent2.jyy
   •  Panda: W32/Koobface.AD.worm
   •  Eset: a variant of Win32/Tinxy.AD trojan


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Descarrega um ficheiro malicioso
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\SYS32DLL.exe



Apaga a cópia executada inicialmente.



Elimina o seguinte ficheiro:
   • C:\SYS32DLL.bat



É criado o seguinte ficheiro:

– C:\SYS32DLL.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.



Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://85.13**********/v50/?v=63&s=I&uid=0&p=6004&q=
Além disso executa-se depois do download estar completo. Ainda em fase de pesquisa.

 Registry (Registo do Windows) Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "7171:TCP"="7171:TCP:*:Enabled:SYS32DLL"
   • "80:TCP"="80:TCP:*:Enabled:SYS32DLL"



O seguinte valor do registo é alterado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
   Valor recente:
   • "ProxyServer"="http=localhost:7171"
   • "ProxyOverride"="*.local;"
   • "ProxyEnable"=dword:00000001

 Backdoor É aberta a seguinte porta:

%SYSDIR%\SYS32DLL.exe numa porta TCP 7171 Por forma a fornecer um servidor HTTP.


Contacta o servidor:
Um dos seguintes:
   • yy-d**********.com
   • zz-d**********.com


 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Petre Galan em terça-feira, 6 de outubro de 2009
Descrição atualizada por Andrei Ivanes em quarta-feira, 7 de outubro de 2009

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.