Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:BDS/Prorat.16.47
Entdeckt am:13/12/2012
Art:Backdoor Server
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:1.586.688 Bytes
MD5 Prfsumme:F87808A97ECF77C6E4208C0A9010451D
VDF Version:7.11.53.216

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: Backdoor.Prorat
   •  Kaspersky: Backdoor.Win32.Prorat.16
   •  Sophos: Troj/Prorat-P
   •  Eset: Win32/Prorat.16
   •  Bitdefender: Backdoor.Prorat.1.6


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schdliche Dateien
   • Zeichnet Tastatureingaben auf
   • nderung an der Registry
   • Ermglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe
   • %WINDIR%\services.exe



Es werden folgende Dateien erstellt:

%SYSDIR%\wininv.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
%SYSDIR%\winkey.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
%WINDIR%\ktd32.atm

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "DirectX For Microsoft Windows"="%SYSDIR%\fservice.exe"



Folgende Registryschlssel werden hinzugefgt:

[HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
   • "StubPath"="%SYSDIR%\sservice.exe"

[HKCU\Software\Microsoft DirectX\WinSettings]
   • "Bulas"=%Einstellungen des Benutzers%
   • "FW_KILL"=%Einstellungen des Benutzers%
   • "XP_FW_Disable"=%Einstellungen des Benutzers%
   • "XP_SYS_Recovery"=%Einstellungen des Benutzers%
   • "ICQ_UIN"=%Einstellungen des Benutzers%
   • "ICQ_UIN2"=%Einstellungen des Benutzers%
   • "Kurban_Ismi"=%Einstellungen des Benutzers%
   • "Mail"=%Einstellungen des Benutzers%
   • "Online_List"=%Einstellungen des Benutzers%
   • "Port"=%Einstellungen des Benutzers%
   • "Sifre"=%Einstellungen des Benutzers%
   • "Hata"=%Einstellungen des Benutzers%
   • "Tport"=%Einstellungen des Benutzers%
   • "ServerVersionInt"=%Einstellungen des Benutzers%



Folgende Registryschlssel werden gendert:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "Shell"="Explorer.exe"
   Neuer Wert:
   • "Shell"="Explorer.exe %SYSDIR%\fservice.exe"

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Alter Wert:
   • "Start"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start"=dword:00000004

[HKLM\SYSTEM\ControlSet001\Services\srservice]
   Alter Wert:
   • "Start"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start"=dword:00000004

 Hintertr Die folgenden Ports werden geffnet:

%WINDIR%\services.exe am TCP Port 5110 um Backdoor Funktion zur Verfgung zu stellen.
%WINDIR%\services.exe am TCP Port 5112 um einen FTP Server zur Verfgung zu stellen.
%WINDIR%\services.exe am TCP Port 51100 um einen FTP Server zur Verfgung zu stellen.

Sende Informationen ber:
     Versteckte Passwrter
     Speichern der Bildschirmanzeige
     Speichern von Bildern der Webcam
     Erstellte Protokolldatei
     Aktueller Benutzer
     IP Adresse
     Plattform ID
     Informationen ber laufende Prozesse
     Systemverzeichnis
     Benutzername
     Windowsverzeichnis
     Information ber das Windows Betriebsystem


Mglichkeiten der Fernkontrolle:
     Datei lschen
     Anzeige einer Meldung
     Datei herunterladen
     Registry editieren
     Datei ausfhren
     Prozess abbrechen
     ffnen einer remote shell
     System neu starten
     Emails verschicken
     System herunterfahren
     Malware beenden
     Prozess beenden
     Datei Hinaufladen
     Besuch einer Webseite

 Diverses String:
Des Weiteren enthlt es folgende Zeichenkette:
   • [ProRat v1.4 Trojan Horse - Coded by PO Group - Made in Turkey]

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • Molebox

Die Beschreibung wurde erstellt von Dragos Tomescu am Mittwoch, 31. August 2005
Die Beschreibung wurde geändert von Dragos Tomescu am Freitag, 2. September 2005

zurück . . . .