Trojan.Asprox

Scoperto: 8 giugno 2007
Aggiornamento: 11 giugno 2007 03:41:26
Conosciuto anche come: TROJ_ASPROX.A] Trend [
Tipo: Trojan
Infezione Lunghezza: 40.960 byte e 61.440 byte
I sistemi interessati: Windows 98, Windows 95, Windows XP, Windows ME, Windows NT, Windows Server 2003, Windows 2000
Trojan.Asprox è un cavallo di Troia che utilizza il computer infetto come server proxy.

Protezione antivirus Date
Iniziale delle definizioni Rapid Release 8 giugno 2007 revisione 022
Ultime Rapid Release 20 Agosto 2010 revisione 052
Iniziale Daily certified 9 giugno 2007 revisione 007
Ultime Daily certified 20 agosto 2010 revisione 051
Iniziale delle definizioni Weekly Certified data 13 giugno 2007

Valutazione della minaccia
Selvatico
Livello di circolazione: Basso
Numero di infezioni: 0-49
Numero di siti: 0-2
Distribuzione geografica: Bassa
Contenimento della minaccia: Facile
Rimozione: Facile
Danno
Livello del danno: Basso
Payload: Usa il computer infetto come server proxy.
Distribuzione
Livello di distribuzione: Basso

Quando il Trojan viene eseguito, esso crea i seguenti file:
% System% \ aspimgr.exe
% Windir% \ s32.txt
% Windir% \ db32.txt
% Windir% \ g32.txt
% Windir% \ gs32.txt
% Windir% \ ws386.ini
% Temp% _check32.bat \

Successivamente, il Trojan crea le sottochiavi del Registro di sistema:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ aspimgr
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Sft

Il programma si apre quindi un proxy server su uno dei seguenti porti:
TCP porta 80
Porta TCP 82

Quindi invia le richieste HTTP per le seguenti posizioni:
[Http://] www.yahoo.com
[Http://] www.web.de
[Http://] ns.uk2.net
[Http://] 208.109.50.117/foru [RIMOSSO]
[Http://] 208.109.51.140/foru [RIMOSSO]
[Http://] 216.69.164.173/foru [RIMOSSO]
[Http://] 74.52.72.58/foru [RIMOSSO]
[Http://] 216.40.204.106/foru [RIMOSSO]

Scritto da: Mangan Paolo e Fergal Ladley

Fonte: http://www.symantec.com/security_response/