Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:TR/ZZDimy.13
Обнаружен:15/05/2009
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Средний
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:13.824 байт.
Контрольная сумма MD5:feb9fcb58b7537c47a0Cfc1c00702b50
Версия IVDF:7.01.03.215 - пятница, 15 мая 2009 г.

 Общее Псевдонимы (аliases):
   •  Symantec: Backdoor.Paproxy
   •  Mcafee: Generic Proxy!a trojan !!!
   •  Kaspersky: Trojan.Win32.Agent2.jyy
   •  Panda: W32/Koobface.AD.worm
   •  Eset: a variant of Win32/Tinxy.AD trojan


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Создает потенциально опасный файл
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создается собственная копия:
   • %SYSDIR%\SYS32DLL.exe



Выполненная копия программы удаляется.



Удаляется следующий файл:
   • C:\SYS32DLL.bat



Создается файл:

– C:\SYS32DLL.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.



Попытка загрузки следующего файла:

– Следующий URL:
   • http://85.13**********/v50/?v=63&s=I&uid=0&p=6004&q=
Данный файл запускается на выполнение после его полной загрузки. На момент проверки данный файл не был доступен.

 Реестр Создание следующего элемента для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "7171:TCP"="7171:TCP:*:Enabled:SYS32DLL"
   • "80:TCP"="80:TCP:*:Enabled:SYS32DLL"



Изменяется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
   Новое значение:
   • "ProxyServer"="http=localhost:7171"
   • "ProxyOverride"="*.local;"
   • "ProxyEnable"=dword:00000001

 Backdoor Открывается порт:

%SYSDIR%\SYS32DLL.exe по TCP порту 7171 для обеспечения HTTP сервера.


Устанавливает соединение с сервером
Один из следующих:
   • yy-d**********.com
   • zz-d**********.com


 Данные файла Язык программирования:
Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Petre Galan в(о) вторник, 6 октября 2009 г.
Описание обновил Andrei Ivanes в(о) среда, 7 октября 2009 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.