Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:BDS/Prorat.16.47
Entdeckt am:13/12/2012
Art:Backdoor Server
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:1.586.688 Bytes
MD5 Prüfsumme:F87808A97ECF77C6E4208C0A9010451D
VDF Version:7.11.53.216

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: Backdoor.Prorat
   •  Kaspersky: Backdoor.Win32.Prorat.16
   •  Sophos: Troj/Prorat-P
   •  Eset: Win32/Prorat.16
   •  Bitdefender: Backdoor.Prorat.1.6


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe
   • %WINDIR%\services.exe



Es werden folgende Dateien erstellt:

%SYSDIR%\wininv.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
%SYSDIR%\winkey.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
%WINDIR%\ktd32.atm

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "DirectX For Microsoft® Windows"="%SYSDIR%\fservice.exe"



Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
   • "StubPath"="%SYSDIR%\sservice.exe"

– [HKCU\Software\Microsoft DirectX\WinSettings]
   • "Bulas"=%Einstellungen des Benutzers%
   • "FW_KILL"=%Einstellungen des Benutzers%
   • "XP_FW_Disable"=%Einstellungen des Benutzers%
   • "XP_SYS_Recovery"=%Einstellungen des Benutzers%
   • "ICQ_UIN"=%Einstellungen des Benutzers%
   • "ICQ_UIN2"=%Einstellungen des Benutzers%
   • "Kurban_Ismi"=%Einstellungen des Benutzers%
   • "Mail"=%Einstellungen des Benutzers%
   • "Online_List"=%Einstellungen des Benutzers%
   • "Port"=%Einstellungen des Benutzers%
   • "Sifre"=%Einstellungen des Benutzers%
   • "Hata"=%Einstellungen des Benutzers%
   • "Tport"=%Einstellungen des Benutzers%
   • "ServerVersionInt"=%Einstellungen des Benutzers%



Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "Shell"="Explorer.exe"
   Neuer Wert:
   • "Shell"="Explorer.exe %SYSDIR%\fservice.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Alter Wert:
   • "Start"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\ControlSet001\Services\srservice]
   Alter Wert:
   • "Start"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start"=dword:00000004

 Hintertür Die folgenden Ports werden geöffnet:

%WINDIR%\services.exe am TCP Port 5110 um Backdoor Funktion zur Verfügung zu stellen.
%WINDIR%\services.exe am TCP Port 5112 um einen FTP Server zur Verfügung zu stellen.
%WINDIR%\services.exe am TCP Port 51100 um einen FTP Server zur Verfügung zu stellen.

Sende Informationen über:
    • Versteckte Passwörter
    • Speichern der Bildschirmanzeige
    • Speichern von Bildern der Webcam
    • Erstellte Protokolldatei
    • Aktueller Benutzer
    • IP Adresse
    • Plattform ID
    • Informationen über laufende Prozesse
    • Systemverzeichnis
    • Benutzername
    • Windowsverzeichnis
    • Information über das Windows Betriebsystem


Möglichkeiten der Fernkontrolle:
    • Datei löschen
    • Anzeige einer Meldung
    • Datei herunterladen
    • Registry editieren
    • Datei ausführen
    • Prozess abbrechen
    • Öffnen einer remote shell
    • System neu starten
    • Emails verschicken
    • System herunterfahren
    • Malware beenden
    • Prozess beenden
    • Datei Hinaufladen
    • Besuch einer Webseite

 Diverses String:
Des Weiteren enthält es folgende Zeichenkette:
   • [ProRat v1.4 Trojan Horse - Coded by P®O Group - Made in Turkey]

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • Molebox

Die Beschreibung wurde erstellt von Dragos Tomescu am Mittwoch, 31. August 2005
Die Beschreibung wurde geändert von Dragos Tomescu am Freitag, 2. September 2005

zurück . . . .