Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:BDS/Prorat.16.47
Descoperit pe data de:13/12/2012
Tip:Backdoor Server
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:1.586.688 Bytes
MD5:F87808A97ECF77C6E4208C0A9010451D
Versiune VDF:7.11.53.216

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Backdoor.Prorat
   •  Kaspersky: Backdoor.Win32.Prorat.16
   •  Sophos: Troj/Prorat-P
   •  Eset: Win32/Prorat.16
   •  Bitdefender: Backdoor.Prorat.1.6


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe
   • %WINDIR%\services.exe



Sunt create fisierele:

%SYSDIR%\wininv.dll Analiza ulterioara a relevat ca si acest fisier este malware.
%SYSDIR%\winkey.dll Analiza ulterioara a relevat ca si acest fisier este malware.
%WINDIR%\ktd32.atm

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "DirectX For Microsoft® Windows"="%SYSDIR%\fservice.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
   • "StubPath"="%SYSDIR%\sservice.exe"

– [HKCU\Software\Microsoft DirectX\WinSettings]
   • "Bulas"=%setarile utilizatorului%
   • "FW_KILL"=%setarile utilizatorului%
   • "XP_FW_Disable"=%setarile utilizatorului%
   • "XP_SYS_Recovery"=%setarile utilizatorului%
   • "ICQ_UIN"=%setarile utilizatorului%
   • "ICQ_UIN2"=%setarile utilizatorului%
   • "Kurban_Ismi"=%setarile utilizatorului%
   • "Mail"=%setarile utilizatorului%
   • "Online_List"=%setarile utilizatorului%
   • "Port"=%setarile utilizatorului%
   • "Sifre"=%setarile utilizatorului%
   • "Hata"=%setarile utilizatorului%
   • "Tport"=%setarile utilizatorului%
   • "ServerVersionInt"=%setarile utilizatorului%



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • "Shell"="Explorer.exe"
   Noua valoare:
   • "Shell"="Explorer.exe %SYSDIR%\fservice.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Vechea valoare:
   • "Start"=%setarile utilizatorului%
   Noua valoare:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\ControlSet001\Services\srservice]
   Vechea valoare:
   • "Start"=%setarile utilizatorului%
   Noua valoare:
   • "Start"=dword:00000004

 Backdoor Deschide porturile:

%WINDIR%\services.exe pe portul TCP 5110 pentru a oferi functionalitate de backdoor.
%WINDIR%\services.exe pe portul TCP 5112 pentru a functiona ca server FTP.
%WINDIR%\services.exe pe portul TCP 51100 pentru a functiona ca server FTP.

Trimte informatii despre:
    • Parole retinute
    • Captura ecranului
    • Captura imagine de pe webcam
    • Loguri create
    • Utilizatorul curent
    • Adresa IP
    • ID-ul platformei
    • Informatii despre procesele sistemului
    • Director sistem
    • Utilizator
    • Directorul Windows
    • Informatii despre sistemul de operare


Posibilitati de control la distanta:
    • Sterge fisierul
    • Afiseaza un mesaj
    • descarcare fisier
    • editare registru sistem
    • executarea unui fisier
    • terminare proces
    • deschidere consola
    • repornirea sistemului
    • trimitere email-uri
    • oprierea sistemului
    • terminare proces malware
    • terminare proces
    • Face upload la un fisier
    • Vizitarea unui website

 Alte informatii Sir de caractere:
In plus, mai contine urmatorul sir de caractere:
   • [ProRat v1.4 Trojan Horse - Coded by P®O Group - Made in Turkey]

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • Molebox

Description inserted by Dragos Tomescu on Wednesday, August 31, 2005
Description updated by Dragos Tomescu on Friday, September 2, 2005

Back . . . .