¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:BDS/Prorat.16.47
Descubierto:13/12/2012
Tipo:Servidor Backdoor
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:1.586.688 Bytes
Suma de control MD5:F87808A97ECF77C6E4208C0A9010451D
Versión del VDF:7.11.53.216

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: Backdoor.Prorat
   •  Kaspersky: Backdoor.Win32.Prorat.16
   •  Sophos: Troj/Prorat-P
   •  Eset: Win32/Prorat.16
   •  Bitdefender: Backdoor.Prorat.1.6


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe
   • %WINDIR%\services.exe



Crea los siguientes ficheros:

%SYSDIR%\wininv.dll Los análisis adicionales indicaron que este fichero es también viral.
%SYSDIR%\winkey.dll Los análisis adicionales indicaron que este fichero es también viral.
%WINDIR%\ktd32.atm

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "DirectX For Microsoft® Windows"="%SYSDIR%\fservice.exe"



Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
   • "StubPath"="%SYSDIR%\sservice.exe"

– [HKCU\Software\Microsoft DirectX\WinSettings]
   • "Bulas"=%configuración definida por el usuario%
   • "FW_KILL"=%configuración definida por el usuario%
   • "XP_FW_Disable"=%configuración definida por el usuario%
   • "XP_SYS_Recovery"=%configuración definida por el usuario%
   • "ICQ_UIN"=%configuración definida por el usuario%
   • "ICQ_UIN2"=%configuración definida por el usuario%
   • "Kurban_Ismi"=%configuración definida por el usuario%
   • "Mail"=%configuración definida por el usuario%
   • "Online_List"=%configuración definida por el usuario%
   • "Port"=%configuración definida por el usuario%
   • "Sifre"=%configuración definida por el usuario%
   • "Hata"=%configuración definida por el usuario%
   • "Tport"=%configuración definida por el usuario%
   • "ServerVersionInt"=%configuración definida por el usuario%



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   Nuevo valor:
   • "Shell"="Explorer.exe %SYSDIR%\fservice.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • "Start"=%configuración definida por el usuario%
   Nuevo valor:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\ControlSet001\Services\srservice]
   Valor anterior:
   • "Start"=%configuración definida por el usuario%
   Nuevo valor:
   • "Start"=dword:00000004

 Backdoor (Puerta trasera) Abre los siguientes puertos:

%WINDIR%\services.exe en el puerto TCP 5110 para proporcionar capabilidades de backdoor.
%WINDIR%\services.exe en el puerto TCP 5112 para funcionar como servidor FTP.
%WINDIR%\services.exe en el puerto TCP 51100 para funcionar como servidor FTP.

Envía informaciones acerca de:
    • Contraseñas guardadas
    • Captura de pantalla
    • Captura de imagen de la webcam
    • Ficheros de informe creados
    • Usuario actual
    • Dirección IP
    • ID de la plataforma
    • Informaciones acerca de los procesos del sistema
    • Carpeta de sistema
    • Nombre de usuario
    • Carpeta Windows
    • Informaciones acerca del sistema operativo Windows


Capabilidades de control remoto:
    • Eliminar archivo
    • Mostrar un mensaje
    • Descargar fichero
    • Editar el registro del sistema
    • Ejecutar fichero
    • Terminar proceso
    • Abrir remote shell
    • Reiniciar sistema
    • Enviar mensajes de correo
    • Apagar sistema
    • Terminar proceso viral
    • Terminar proceso
    • Cargar fichero en Internet
    • Visitar un sitio web

 Informaciones diversas Serie de caracteres:
Además, incluye la siguiente serie de caracteres:
   • [ProRat v1.4 Trojan Horse - Coded by P®O Group - Made in Turkey]

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • Molebox

Descripción insertada por Dragos Tomescu el miércoles, 31 de agosto de 2005
Descripción actualizada por Dragos Tomescu el viernes, 2 de septiembre de 2005

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.