¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:BDS/Prorat.16.47
Descubierto:13/12/2012
Tipo:Servidor Backdoor
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:1.586.688 Bytes
Suma de control MD5:F87808A97ECF77C6E4208C0A9010451D
Versin del VDF:7.11.53.216

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Symantec: Backdoor.Prorat
   •  Kaspersky: Backdoor.Win32.Prorat.16
   •  Sophos: Troj/Prorat-P
   •  Eset: Win32/Prorat.16
   •  Bitdefender: Backdoor.Prorat.1.6


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dainos
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe
   • %WINDIR%\services.exe



Crea los siguientes ficheros:

%SYSDIR%\wininv.dll Los anlisis adicionales indicaron que este fichero es tambin viral.
%SYSDIR%\winkey.dll Los anlisis adicionales indicaron que este fichero es tambin viral.
%WINDIR%\ktd32.atm

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "DirectX For Microsoft Windows"="%SYSDIR%\fservice.exe"



Aade las siguientes claves al registro:

[HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
   • "StubPath"="%SYSDIR%\sservice.exe"

[HKCU\Software\Microsoft DirectX\WinSettings]
   • "Bulas"=%configuracin definida por el usuario%
   • "FW_KILL"=%configuracin definida por el usuario%
   • "XP_FW_Disable"=%configuracin definida por el usuario%
   • "XP_SYS_Recovery"=%configuracin definida por el usuario%
   • "ICQ_UIN"=%configuracin definida por el usuario%
   • "ICQ_UIN2"=%configuracin definida por el usuario%
   • "Kurban_Ismi"=%configuracin definida por el usuario%
   • "Mail"=%configuracin definida por el usuario%
   • "Online_List"=%configuracin definida por el usuario%
   • "Port"=%configuracin definida por el usuario%
   • "Sifre"=%configuracin definida por el usuario%
   • "Hata"=%configuracin definida por el usuario%
   • "Tport"=%configuracin definida por el usuario%
   • "ServerVersionInt"=%configuracin definida por el usuario%



Modifica las siguientes claves del registro:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   Nuevo valor:
   • "Shell"="Explorer.exe %SYSDIR%\fservice.exe"

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • "Start"=%configuracin definida por el usuario%
   Nuevo valor:
   • "Start"=dword:00000004

[HKLM\SYSTEM\ControlSet001\Services\srservice]
   Valor anterior:
   • "Start"=%configuracin definida por el usuario%
   Nuevo valor:
   • "Start"=dword:00000004

 Backdoor (Puerta trasera) Abre los siguientes puertos:

%WINDIR%\services.exe en el puerto TCP 5110 para proporcionar capabilidades de backdoor.
%WINDIR%\services.exe en el puerto TCP 5112 para funcionar como servidor FTP.
%WINDIR%\services.exe en el puerto TCP 51100 para funcionar como servidor FTP.

Enva informaciones acerca de:
     Contraseas guardadas
     Captura de pantalla
     Captura de imagen de la webcam
     Ficheros de informe creados
     Usuario actual
     Direccin IP
     ID de la plataforma
     Informaciones acerca de los procesos del sistema
     Carpeta de sistema
     Nombre de usuario
     Carpeta Windows
     Informaciones acerca del sistema operativo Windows


Capabilidades de control remoto:
     Eliminar archivo
     Mostrar un mensaje
     Descargar fichero
     Editar el registro del sistema
     Ejecutar fichero
     Terminar proceso
     Abrir remote shell
     Reiniciar sistema
     Enviar mensajes de correo
     Apagar sistema
     Terminar proceso viral
     Terminar proceso
     Cargar fichero en Internet
     Visitar un sitio web

 Informaciones diversas Serie de caracteres:
Adems, incluye la siguiente serie de caracteres:
   • [ProRat v1.4 Trojan Horse - Coded by PO Group - Made in Turkey]

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • Molebox

Descripción insertada por Dragos Tomescu el miércoles 31 de agosto de 2005
Descripción actualizada por Dragos Tomescu el viernes 2 de septiembre de 2005

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.