Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:BDS/Prorat.16.47
Descoperit pe data de:13/12/2012
Tip:Backdoor Server
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:1.586.688 Bytes
MD5:F87808A97ECF77C6E4208C0A9010451D
Versiune VDF:7.11.53.216

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Backdoor.Prorat
   •  Kaspersky: Backdoor.Win32.Prorat.16
   •  Sophos: Troj/Prorat-P
   •  Eset: Win32/Prorat.16
   •  Bitdefender: Backdoor.Prorat.1.6


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe
   • %WINDIR%\services.exe



Sunt create fisierele:

%SYSDIR%\wininv.dll Analiza ulterioara a relevat ca si acest fisier este malware.
%SYSDIR%\winkey.dll Analiza ulterioara a relevat ca si acest fisier este malware.
%WINDIR%\ktd32.atm

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "DirectX For Microsoft Windows"="%SYSDIR%\fservice.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

[HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
   • "StubPath"="%SYSDIR%\sservice.exe"

[HKCU\Software\Microsoft DirectX\WinSettings]
   • "Bulas"=%setarile utilizatorului%
   • "FW_KILL"=%setarile utilizatorului%
   • "XP_FW_Disable"=%setarile utilizatorului%
   • "XP_SYS_Recovery"=%setarile utilizatorului%
   • "ICQ_UIN"=%setarile utilizatorului%
   • "ICQ_UIN2"=%setarile utilizatorului%
   • "Kurban_Ismi"=%setarile utilizatorului%
   • "Mail"=%setarile utilizatorului%
   • "Online_List"=%setarile utilizatorului%
   • "Port"=%setarile utilizatorului%
   • "Sifre"=%setarile utilizatorului%
   • "Hata"=%setarile utilizatorului%
   • "Tport"=%setarile utilizatorului%
   • "ServerVersionInt"=%setarile utilizatorului%



Urmatoarele chei din registri sunt modificate:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • "Shell"="Explorer.exe"
   Noua valoare:
   • "Shell"="Explorer.exe %SYSDIR%\fservice.exe"

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Vechea valoare:
   • "Start"=%setarile utilizatorului%
   Noua valoare:
   • "Start"=dword:00000004

[HKLM\SYSTEM\ControlSet001\Services\srservice]
   Vechea valoare:
   • "Start"=%setarile utilizatorului%
   Noua valoare:
   • "Start"=dword:00000004

 Backdoor Deschide porturile:

%WINDIR%\services.exe pe portul TCP 5110 pentru a oferi functionalitate de backdoor.
%WINDIR%\services.exe pe portul TCP 5112 pentru a functiona ca server FTP.
%WINDIR%\services.exe pe portul TCP 51100 pentru a functiona ca server FTP.

Trimte informatii despre:
     Parole retinute
     Captura ecranului
     Captura imagine de pe webcam
     Loguri create
     Utilizatorul curent
     Adresa IP
     ID-ul platformei
     Informatii despre procesele sistemului
     Director sistem
     Utilizator
     Directorul Windows
     Informatii despre sistemul de operare


Posibilitati de control la distanta:
     Sterge fisierul
     Afiseaza un mesaj
     descarcare fisier
     editare registru sistem
     executarea unui fisier
     terminare proces
     deschidere consola
     repornirea sistemului
     trimitere email-uri
     oprierea sistemului
     terminare proces malware
     terminare proces
     Face upload la un fisier
     Vizitarea unui website

 Alte informatii Sir de caractere:
In plus, mai contine urmatorul sir de caractere:
   • [ProRat v1.4 Trojan Horse - Coded by PO Group - Made in Turkey]

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • Molebox

Description inserted by Dragos Tomescu on Wednesday, August 31, 2005
Description updated by Dragos Tomescu on Friday, September 2, 2005

Back . . . .