Nombre:BDS/Prorat.M.B.38
Descubierto:15/03/2006
Tipo:Servidor Backdoor
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:357.932 Bytes
Suma de control MD5:d1dabb99aaeacf1ae918f2e3f2abc2e9
Versión del VDF:6.33.00.119

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: Backdoor.Prorat
   •  Mcafee: BackDoor-AVW
   •  Kaspersky: Backdoor.Win32.Prorat.19.al
   •  TrendMicro: BKDR_PRORAT.19
   •  VirusBuster: Backdoor.Prorat.AE
   •  Bitdefender: Backdoor.Prorat.1.9


Plataformas / Sistemas operativos:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe
   • %WINDIR%\services.exe



Elimina la copia inicial del virus.



Elimina los siguientes ficheros:
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe



Crea los siguientes ficheros:

%SYSDIR%\winkey.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Prorat.19.H

%SYSDIR%\reginv.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Drop.Agent.co.2

%WINDIR%\ktd32.atm En este fichero se registran las pulsaciones de teclado.
%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro La siguiente clave del registro se encuentra en un bucle infinito, añadido para ejecutar el proceso al reiniciar el sistema.

–  [HKLM\software\microsoft\windows\currentversion\policies\explorer\
   Run]
   • "DirectX For Microsoft® Windows"="%SYSDIR%\fservice.exe"



Añade las siguientes claves al registro:

– [HKCU\software\microsoft\Windows NT Script Host\Microsoft DxDiag\
   WinSettings]
   • "Bulas"="1"
   • "FW_KILL"="1"
   • "XP_FW_Disable="1"
   • "XP_SYS_Recovery"="1"
   • "ICQ_UIN"="qvro/on,hq/hogn"
   • "ICQ_UIN2"=""
   • "Kurban_Ismi"="whbuhl"
   • "Mail"=""
   • "Online_List"=""
   • "Port"="4001"
   • "Sifre"="ehbd547"
   • "Hata"=""
   • "KSil"="1"
   • "LanNotifie"=""
   • "Tport"="0"
   • "ServerVersionInt"="19"

– [HKLM\software\microsoft\Active Setup\Installed Components\
   {5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
   • "StubPath"="%SYSDIR%\sservice.exe"



Modifica las siguientes claves del registro:

– [HKLM\software\microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   Nuevo valor:
   • "Shell"="Explorer.exe %SYSDIR%\fservice.exe"

 Finalización de los procesos Listado de los procesos finalizados:
   • _AVP32.EXE; _AVP32.EXE; _AVPCC.EXE; _AVPM.EXE; _SMC.EXE; ACKWIN32.EXE;
      ADMINTOOL.EXE; ADVXDWIN.EXE; AGENTA.EXE; AGENTSVR.EXE; ALERTSVC.EXE;
      ALG.EXE; ALOGSERV.EXE; AMON.EXE; AMON9X.EXE; ANTITROJ.EXE;
      ANTI-TROJAN.EXE; ANTIVIRUS.EXE; ANTS.EXE; APIMONITOR.EXE;
      APLICA32.EXE; APVXDWIN.EXE; ASHDISP.EXE; ASHQUICK.EXE; ATCON.EXE;
      ATGUARD.EXE; ATRO55EN.EXE; ATUPDATER.EXE; ATWATCH.EXE; ATWATCH.EXE;
      AUTOTRACE.EXE; AVCONSOL.EXE; AVCONSOL.EXE; AVENGINE.EXE; AVENGINE.EXE;
      AVGCC32.EXE; AVGCTRL.EXE; AVGNT.EXE; AVGSERV.EXE; AVGSERV9.EXE;
      AVGUARD.EXE; AVGW.EXE; AVKPOP.EXE; AVKSERV.EXE; AVKSERVICE.EXE;
      AVKWCTL.EXE; AVKWCTL9.EXE; AVP.EXE; AVP32.EXE; AVPCC.EXE; AVPCC.EXE;
      AVPM.EXE; AVSCHED32.EXE; AVSYNMGR.EXE; AVSYNMGR.EXE; AVWIN.EXE;
      AVWINNT.EXE; AVXGUI.EXE; AVXLIVE.EXE; AVXMONITOR9X.EXE;
      AVXMONITORNT.EXE; AVXQUAR.EXE; AVXW.EXE; BD_PROFESSIONAL.EXE;
      BIDEF.EXE; BIDSERVER.EXE; BIPCP.EXE; BISP.EXE; BLACKD.EXE;
      BLACKICE.EXE; BOOTSCAN.EXE; BOOTWARN.EXE; BORG2.EXE; BS120.EXE;
      CDP.EXE; CFGINTPR.EXE; CFGWIZ.EXE; CFIADMIN.EXE; CFIAUDIT.EXE;
      CFINET.EXE; CFINET32.EXE; CLAW95.EXE; CLAW95CF.EXE; CLEAN.EXE;
      CLEANER.EXE; CLEANER3.EXE; CLEANPC.EXE; CMGRDIAN.EXE; CMON016.EXE;
      CONNECTIONMONITOR.EXE; CPF9X206.EXE; CPFNT206.EXE; CTRL.EXE; CV.EXE;
      CWNB181.EXE; CWNTDWMO.EXE; DEFSCANGUI.EXE; DEFWATCH.EXE; DEPUTY.EXE;
      DOORS.EXE; DPATROL.EXE; DPF.EXE; DRWEB32.EXE; DRWEBSCD.EXE; DVP95.EXE;
      DVP95_0.EXE; ECENGINE.EXE; EFPEADM.EXE; ENT.EXE; ESAFE.EXE;
      ESCANH95.EXE; ESCANHNT.EXE; ESCANV95.EXE; ESPWATCH.EXE;
      ETRUSTCIPE.EXE; EVPN.EXE; EXANTIVIRUS-CNET.EXE; EXPERT.EXE;
      F-AGNT95.EXE; FAMEH32.EXE; FAST.EXE; FCH32.EXE; FIH32.EXE;
      FINDVIRU.EXE; FIREWALL.EXE; FLOWPROTECTOR.EXE; FNRB32.EXE; F-PROT.EXE;
      F-PROT95.EXE; FP-WIN.EXE; FRW.EXE; FSA.EXE; FSAA.EXE; FSAV.EXE;
      FSAV32.EXE; FSAV530STBYB.EXE; FSAVSTRT.EXE; FSM32.EXE; FSMA32.EXE;
      FSMB32.EXE; F-STOPW.EXE; GBMENU.EXE; GBPOLL.EXE; GENERICS.EXE;
      GLADIATOR.EXE; GUARD.EXE; GUARDDOG.EXE; GUARDER.EXE;
      HACKERELIMINATOR.EXE; HACKTRACERSETUP.EXE; HTLOG.EXE; HWPE.EXE;
      IAMAPP.EXE; IAMSERV.EXE; IAMSTATS.EXE; IBMASN.EXE; IBMAVSP.EXE;
      ICLOAD95.EXE; ICLOADNT.EXE; ICMON.EXE; ICSUPP95.EXE; ICSUPPNT.EXE;
      IFACE.EXE; IFW2000.EXE; IOMON98.EXE; IPARMOR.EXE; IRIS.EXE;
      ISRV95.EXE; JAMMER.EXE; JEDI.EXE; KAVLITE40ENG.EXE; KAVPERS40ENG.EXE;
      LDNETMON.EXE; LDPRO.EXE; LDPROMENU.EXE; LDSCAN.EXE; LOCKDOWN.EXE;
      LOCKDOWN2000.EXE; LOGMON.EXE; LOOKOUT.EXE; LUALL.EXE; LUAU.EXE;
      MCAGENT.EXE; MCMNHDLR.EXE; MCSHIELD.EXE; MCTOOL.EXE; MCVSRTE.EXE;
      MCVSSHLD.EXE; MFW2EN.EXE; MGAVRTCL.EXE; MGAVRTE.EXE; MGHTML.EXE;
      MGUI.EXE; MINILOG.EXE; MONITOR.EXE; MPFAGENT.EXE; MPFSERVICE.EXE;
      MPFTRAY.EXE; MPFTRAY.EXE; MSSMMC32.EXE; MU0311AD.EXE; MWATCH.EXE;
      N32SCANW.EXE; NAVAPW32.EXE; NAVDX.EXE; NAVLU32.EXE; NAVSTUB.EXE;
      NAVW32.EXE; NAVWNT.EXE; NC2000.EXE; NEOWATCHLOG.EXE; NEOWATCHTRAY.EXE;
      NETARMOR.EXE; NETINFO.EXE; NETMON.EXE; NETSCANPRO.EXE;
      NETSPYHUNTER-1.2.EXE; NETUTILS.EXE; NIP.EXE; NISSERV.EXE; NISUM.EXE;
      NOD32.EXE; NORMIST.EXE; NPF40_TW_98_NT_ME_2K.EXE; NPFMESSENGER.EXE;
      NPSSVC.EXE; NSCHED32.EXE; NTRTSCAN.EXE; NTVDM.EXE; NTXCONFIG.EXE;
      NUI.EXE; NVARCH16.EXE; NVC95.EXE; NWSERVICE.EXE; NWTOOL16.EXE;
      NYMSE.EXE; OSTRONET.EXE; OUTPOST.EXE; PADMIN.EXE; PANIXK.EXE;
      PAVCL.EXE; PAVFIRES.EXE; PAVPROXY.EXE; PAVPRSRV.EXE; PAVSRV51.EXE;
      PAVW.EXE; PCC2002S902.EXE; PCC2K_76_1436.EXE; PCCCLIENT.EXE;
      PCCGUIDE.EXE; PCCIOMON.EXE; PCCNTMON.EXE; PCCPFW.EXE; PCCWIN97.EXE;
      PCCWIN98.EXE; PCFWALLICON.EXE; PCSCAN.EXE; PERISCOPE.EXE; PERSFW.EXE;
      PF2.EXE; PFWADMIN.EXE; PINGSCAN.EXE; PLATIN.EXE; POP3TRAP.EXE;
      POPROXY.EXE; PORTDETECTIVE.EXE; PORTMONITOR.EXE; PPTBC.EXE;
      PPVSTOP.EXE; PROCMAN.EXE; PROGRAMAUDITOR.EXE; PROPORT.EXE;
      PROTECTX.EXE; PSPF.EXE; PURGE.EXE; PVIEW95.EXE; QCONSOLE.EXE;
      QSERVER.EXE; RAPAPP.EXE; RAV7.EXE; RAV7WIN.EXE; RAV8WIN32ENG.EXE;
      RAVMON.EXE; RAVWIN8.EXE; REALMON.EXE; REGSHOT.EXE; RMVTRJAN.EXE;
      RRGUARD.EXE; RSHELL.EXE; RTVSCN95.EXE; RULAUNCH.EXE; SAFEWEB.EXE;
      SBSERV.EXE; SCAN.EXE; SCAN32.EXE; SCANPM.EXE; SCRSCAN.EXE; SD.EXE;
      SFC.EXE; SGSSFW32.EXE; SH.EXE; SHN.EXE; SMC.EXE; SOFI.EXE; SPF.EXE;
      SPFW.EXE; SPHINX.EXE; SPYXX.EXE; SS3EDIT.EXE; ST.EXE; ST2.EXE;
      SUPFTRL.EXE; SUPPORTER5.EXE; SWEEP95.EXE; SWNETSUP.EXE;
      SYMPROXYSVC.EXE; TASKALERT.EXE; TAUMON.EXE; TAUSCAN.EXE; TBSCAN.EXE;
      TC.EXE; TCA.EXE; TCM.EXE; TDS2-98.EXE; TDS2-NT.EXE; TDS-3.EXE;
      TFAK.EXE; TFAK5.EXE; TGBOB.EXE; THGUARD.EXE; TITANIN.EXE;
      TITANINXP.EXE; TRJSCAN.EXE; TROJAN.EXE; TROJANHUNTER.EXE;
      TROJANTRAP3.EXE; TUCONF.EXE; UMXAGENT.EXE; UMXLDRA.EXE; V530WTBYB.EXE;
      V95.EXE; VBCONS.EXE; VBUST.EXE; VBWIN9X.EXE; VBWINNTW.EXE; VET32.EXE;
      VET95.EXE; VETTRAY.EXE; VIR-HELP.EXE; VNLAN300.EXE; VNPC3000.EXE;
      VPC32.EXE; VPC42.EXE; VPFW30S.EXE; VPTRAY.EXE; VPTRAY.EXE;
      VSCAN40.EXE; VSCHED.EXE; VSECOM.EXE; VSHWIN32.EXE; VSHWIN32.EXE;
      VSMAIN.EXE; VSMAIN.EXE; VSMON.EXE; VSSTAT.EXE; VSSTAT.EXE;
      WATCHDOG.EXE; WATCHER.EXE; WEBSCANX.EXE; WEBTRAP.EXE; WFINDV32.EXE;
      WGFE95.EXE; WIMMUN32.EXE; WINGATE.EXE; WINRECON.EXE; WINROUTE.EXE;
      WNT.EXE; WRADMIN.EXE; WRCTRL.EXE; WSBGATE.EXE; XCOMMSVR.EXE;
      XPF202EN.EXE; ZAPRO.EXE; ZATUTOR.EXE; ZONALM2601.EXE; ZONEALARM.EXE


Listado de los servicios desactivados:
   • System Restore
   • Internet Connection Firewall (Windows Firewall)/Internet Connection Sharing
   • Norton AntiVirus Auto-Protect Service

 Backdoor (Puerta trasera) Abre los siguientes puertos:

%WINDIR%\services.exe en el puerto TCP 5110 para proporcionar capabilidades de backdoor.
%WINDIR%\services.exe en el puerto TCP 5112 para funcionar como servidor FTP.
%WINDIR%\services.exe en el puerto TCP 51100 para funcionar como servidor FTP.


Servidor contactado:
Las siguientes:
   • pwsn.no-ip.info:41100
   • pwsn.no-ip.info:4112
   • pwsn.no-ip.info:4110

De esta forma, puede enviar informaciones y obtener el control remoto. Además, rehace la conexión periódicamente.

Envía informaciones acerca de:
    • Nombre del ordenador
    • Velocidad del procesador
    • Tipo del procesador
    • Dirección IP
    • Estado actual del programa viral
    • Informaciones acerca de la red
    • Puerto abierto
    • Informaciones acerca de los procesos del sistema
    • Hora del sistema
    • Nombre de usuario
    • Actividad local de los usuarios
    • URL visitada
    • Informaciones acerca del sistema operativo Windows


Capabilidades de control remoto:
    • Listar directorio
    • Descargar fichero
    • Editar el registro del sistema
    • Ejecutar fichero
    • Reiniciar sistema
    • Enviar mensajes de correo
    • Apagar sistema
    • Terminar proceso

 Robo de informaciones Intenta robar las siguientes informaciones:

– Las contraseñas de los siguientes programas:
   • CuteFTP
   • CuteFTP Pro
   • FlashFXP
   • Outlook Express
   • ICQ
   • Trillian
   • MSN Messenger
   • Yahoo!
   • NetMeeting

– Se inicia una rutina de creación de ficheros log después de teclear el siguiente texto:
   • %any key%

– Captura:
    • Pulsaciones de teclado
    • Información de la ventana

 Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.


Oculta las siguientes:
– Sus propias claves del registro


Método empleado:
    • Oculto en Windows API

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Borland C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea los siguientes programas de compresión de ejecutables:
   • Morphine
   • UPX

Descripción insertada por Iulia Diaconescu el miércoles 15 de marzo de 2006
Descripción actualizada por Iulia Diaconescu el lunes 20 de marzo de 2006

Volver . . . .