Nombre:BDS/Prorat.RC
Descubierto:30/06/2005
Tipo:Servidor Backdoor
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:350.764 Bytes
Suma de control MD5:3648ef98f2bfba463fd46f8180d267c5
Versión del VDF:6.31.00.124

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: BackDoor-AVW
   •  Kaspersky: Backdoor.Win32.Prorat.19.i
   •  TrendMicro: BKDR_PRORAT.I
   •  Sophos: Troj/Prorat-19
   •  Grisoft: BackDoor.Prorat.2.BC
   •  VirusBuster: trojan Backdoor.Prorat.AR1
   •  Bitdefender: Backdoor.Prorat.19

Identificado anteriormente como:
   •  TR/Dldr.Small.rc.1


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Suelta ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe
   • %WINDIR%\services.exe



Crea los siguientes ficheros:

%SYSDIR%\winkey.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Prorat.19.I.3

%SYSDIR%\reginv.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Drop.Agent.co.2

%WINDIR%\ktd32.atm En este fichero se registran las pulsaciones de teclado.

 Registro Las siguientes claves del registro se encuentran en un bucle infinito, añadido para ejecutar los procesos al reiniciar el sistema.

–  [HKLM\software\microsoft\windows\currentversion\policies\explorer\
   Run]
   • "DirectX For Microsoft® Windows"="%SYSDIR%\fservice.exe"

–  [HKLM\software\microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe %SYSDIR%\fservice.exe"



Añade las siguientes claves al registro:

– [HKCU\software\microsoft\Windows NT Script Host\Microsoft DxDiag\
   WinSettings]
   • "LanNotifie" = ""
   • "KSil" = "0"
   • "Hata" = "Invalid memory block address"
   • "Sifre" = "ln{`su"
   • "Port" = "4008"
   • "Online_List" = ""
   • "Mail" = "bishrhrbs`{x0101Ax`inn/bnl"
   • "Kurban_Ismi" = "trds"
   • "ICQ_UIN2" = ""
   • "ICQ_UIN" = "gtrhnovdc/on,hq/hogn"
   • "XP_SYS_Recovery" = "1"
   • "XP_FW_Disable" = "1"
   • "FW_KILL" = "1"
   • "Bulas" = "1"

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
   • "StubPath"="%SYSDIR%\sservice.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   • "Group"=""



Modifica las siguientes claves del registro:

– [HKLM\software\microsoft\\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   Nuevo valor:
   • "Shell"="Explorer.exe %SYSDIR%\fservice.exe"

Desactiva el cortafuego de Windows:
– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess]
   Valor anterior:
   • "Start"=%configuración definida por el usuario%
   Nuevo valor:
   • "Start"=dword:00000004

Desactiva el cortafuego de Windows:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • "Start"=%configuración definida por el usuario%
   Nuevo valor:
   • "Start"=dword:00000004

 Correo electrónico No tiene rutina propia de propagación, pero puede enviar mensajes de correo. Lo más probable es que el destinatario sea el autor del virus. Las características están descritas a continuación:


De:
El remitente del mensaje de correo es el siguiente:
   • ProRat V1.9:Fix-10 <ProRat@Yahoo.Com>


Para:
El destinatario del mensaje es el siguiente:
   • chrisiscrazy1010@yahoo.com


Asunto:
El siguiente:
   • ProRat [user Online]



El cuerpo del mensaje:
El cuerpo del mensaje es el siguiente:

   • [ProRat V1.9:Fix-10]
     Victim is Online.
     IP Address(es) :
     %dirección IP actual%
     
     Port :5119
     Password :mozart
     Victim name :user
     User name :%nombre del usuario actual%
     Computer Name :%nombre del ordenador%
     Date :%fecha actual%
     Time :%hora actual%



El mensaje de correo se ve así:


 Finalización de los procesos Listado de los procesos finalizados:
   • _AVP32.EXE; _AVP32.EXE; _AVPCC.EXE; _AVPM.EXE; _SMC.EXE; ACKWN32.EXE;
      ADMNTOOL.EXE; ADVXDWN.EXE; AGENTA.EXE; AGENTSVR.EXE; ALERTSVC.EXE;
      ALG.EXE; ALOGSERV.EXE; AMAPP.EXE; AMON.EXE; AMON9X.EXE; AMSERV.EXE;
      AMSTATS.EXE; ANTS.EXE; ANTTROJ.EXE; ANT-TROJAN.EXE; ANTVRUS.EXE;
      APLCA32.EXE; APMONTOR.EXE; APVXDWN.EXE; ASHDSP.EXE; ASHQUCK.EXE;
      ATC¿N.EXE; ATGUARD.EXE; ATRO55EN.EXE; ATUPDATER.EXE; ATWATCH.EXE;
      ATWATCH.EXE; AUTOTRACE.EXE; AVCONSOL.EXE; AVCONSOL.EXE; AVENGNE.EXE;
      AVGCC32.EXE; AVGCTRL.EXE; AVGNT.EXE; AVGSERV.EXE; AVGSERV9.EXE;
      AVGUARD.EXE; AVGW.EXE; AVKPOP.EXE; AVKSERV.EXE; AVKSERVCE.EXE;
      AVKWCTL.EXE; AVKWCTL9.EXE; AVP.EXE; AVP32.EXE; AVPCC.EXE; AVPCC.EXE;
      AVPM.EXE; AVPRSRV.EX; AVSCHED32.EXE; AVSYNMGR.EXE; AVSYNMGR.EXE;
      AVWN.EXE; AVWNNT.EXE; AVXGU.EXE; AVXLVE.EXE; AVXMONTOR9X.EXE;
      AVXMONTORNT.EXE; AVXQUAR.EXE; AVXW.EXE; BD_PROFESSONAL.EXE; BDEF.EXE;
      BDSERVER.EXE; BLACKCE.EXE; BLACKD.EXE; BMASN.EXE; BMAVSP.EXE;
      BOOTSCAN.EXE; BOOTWARN.EXE; BORG2.EXE; BPCP.EXE; BS120.EXE; BSP.EXE;
      CDP.EXE; CFADMN.EXE; CFAUDT.EXE; CFGNTPR.EXE; CFGWZ.EXE; CFNET.EXE;
      CFNET32.EXE; CLAW95.EXE; CLAW95CF.EXE; CLEAN.EXE; CLEANER.EXE;
      CLEANER3.EXE; CLEANPC.EXE; CLOAD95.EXE; CLOADNT.EXE; CMGRDAN.EXE;
      CMON.EXE; CMON016.EXE; CONNECTONMONTOR.EXE; CPF9X206.EXE;
      CPFNT206.EXE; CSUPP95.EXE; CSUPPNT.EXE; CTRL.EXE; CV.EXE; CWNB181.EXE;
      CWNTDWMO.EXE; DEFSCANGU.EXE; DEFWATCH.EXE; DEPUTY.EXE; DOORS.EXE;
      DPATROL.EXE; DPF.EXE; DRWEB32.EXE; DRWEBSCD.EXE; DVP95.EXE;
      DVP95_0.EXE; ECENGNE.EXE; EFPEADM.EXE; ENT.EXE; ESAFE.EXE;
      ESCANH95.EXE; ESCANHNT.EXE; ESCANV95.EXE; ESPWATCH.EXE; ETRUSTCPE.EXE;
      EVPN.EXE; EXANTVRUS-CNET.EXE; EXPERT.EXE; FACE.EXE; F-AGNT95.EXE;
      FAMEH32.EXE; FAST.EXE; FCH32.EXE; FH32.EXE; FLOWPROTECTOR.EXE;
      FNDVRU.EXE; FNRB32.EXE; F-PROT.EXE; F-PROT95.EXE; FP-WN.EXE;
      FREWALL.EXE; FRW.EXE; FSA.EXE; FSAA.EXE; FSAV.EXE; FSAV32.EXE;
      FSAV530STBYB.EXE; FSAVSTRT.EXE; FSM32.EXE; FSMA32.EXE; FSMB32.EXE;
      F-STOPW.EXE; FW2000.EXE; GBMENU.EXE; GBPOLL.EXE; GENERCS.EXE;
      GLADATOR.EXE; GUARD.EXE; GUARDDOG.EXE; GUARDER.EXE;
      HACKERELMNATOR.EXE; HACKTRACERSETUP.EXE; HTLOG.EXE; HWPE.EXE;
      JAMMER.EXE; JED.EXE; KAVLTE40ENG.EXE; KAVPERS40ENG.EXE; LDNETMON.EXE;
      LDPRO.EXE; LDPROMENU.EXE; LDSCAN.EXE; LOCKDOWN.EXE; LOCKDOWN2000.EXE;
      LOGMON.EXE; LOOKOUT.EXE; LUALL.EXE; LUAU.EXE; MCAGENT.EXE;
      MCMNHDLR.EXE; MCSHELD.EXE; MCTOOL.EXE; MCVSRTE.EXE; MCVSSHLD.EXE;
      MFW2EN.EXE; MGAVRTCL.EXE; MGAVRTE.EXE; MGHTML.EXE; MGU.EXE; MNLOG.EXE;
      MONTOR.EXE; MPFAGENT.EXE; MPFSERVCE.EXE; MPFTRAY.EXE; MPFTRAY.EXE;
      MSSMMC32.EXE; MU0311AD.EXE; MWATCH.EXE; N32SCANW.EXE; NAVAPW32.EXE;
      NAVDX.EXE; NAVLU32.EXE; NAVSTUB.EXE; NAVW32.EXE; NAVWNT.EXE;
      NC2000.EXE; NEOWATCHLOG.EXE; NEOWATCHTRAY.EXE; NETARMOR.EXE;
      NETMON.EXE; NETNFO.EXE; NETSCANPRO.EXE; NETSPYHUNTER-1.2.EXE;
      NETUTLS.EXE; NOD32.EXE; NORMST.EXE; NP.EXE; NPF40_TW_98_NT_ME_2K.EXE;
      NPFMESSENGER.EXE; NPSSVC.EXE; NSCHED32.EXE; NSSERV.EXE; NSUM.EXE;
      NTRTSCAN.EXE; NTVDM.EXE; NTXCONFG.EXE; NU.EXE; NVARCH16.EXE;
      NVC95.EXE; NWSERVCE.EXE; NWTOOL16.EXE; NYMSE.EXE; OMON98.EXE;
      OSTRONET.EXE; OUTPOST.EXE; P SPF.EXE; PADMN.EXE; PANXK.EXE;
      PARMOR.EXE; PAVCL.EXE; PAVFRES.EXE; PAVPROXY.EXE; PAVSRV51.EXE;
      PAVW.EXE; PCC2002S902.EXE; PCC2K_76_1436.EXE; PCCCLENT.EXE;
      PCCGUDE.EXE; PCCNTMON.EXE; PCCOMON.EXE; PCCPFW.EXE; PCCWN97.EXE;
      PCCWN98.EXE; PCFWALLCON.EXE; PCSCAN.EXE; PERSCOPE.EXE; PERSFW.EXE;
      PF2.EXE; PFWADMN.EXE; PLATN.EXE; PNGSCAN.EXE; POP3TRAP.EXE;
      POPROXY.EXE; PORTDETECTVE.EXE; PORTMONTOR.EXE; PPTBC.EXE; PPVSTOP.EXE;
      PROCMAN.EXE; PROGRAMAUDTOR.EXE; PROPORT.EXE; PROTECTX.EXE; PURGE.EXE;
      PVEW95.EXE; QCONSOLE.EXE; QSERVER.EXE; RAPAPP.EXE; RAV7.EXE;
      RAV7WN.EXE; RAV8WN32ENG.EXE; RAVMON.EXE; RAVWN8.EXE; REALMON.EXE;
      REGSHOT.EXE; RMVTRJAN.EXE; RRGUARD.EXE; RS.EXE; RSHELL.EXE;
      RTVSCN95.EXE; RULAUNCH.EXE; SAFEWEB.EXE; SBSERV.EXE; SCAN.EXE;
      SCAN32.EXE; SCANPM.EXE; SCRSCAN.EXE; SD.EXE; SFC.EXE; SGSSFW32.EXE;
      SH.EXE; SHN.EXE; SMC.EXE; SOF.EXE; SPF.EXE; SPFW.EXE; SPHNX.EXE;
      SPYXX.EXE; SRV95.EXE; SS3EDT.EXE; ST.EXE; ST2.EXE; SUPFTRL.EXE;
      SUPPORTER5.EXE; SWEEP95.EXE; SWNETSUP.EXE; SYMPROXYSVC.EXE;
      TASKALERT.EXE; TAUMON.EXE; TAUSCAN.EXE; TBSCAN.EXE; TC.EXE; TCA.EXE;
      TCM.EXE; TDS2-98.EXE; TDS2-NT.EXE; TDS-3.EXE; TFAK.EXE; TFAK5.EXE;
      TGBOB.EXE; THGUARD.EXE; TRJSCAN.EXE; TROJAN.EXE; TROJANHUNTER.EXE;
      TROJANTRAP3.EXE; TTANN.EXE; TTANNXP.EXE; TUCONF.EXE; UMXAGENT.EXE;
      UMXLDRA.EXE; V530WTBYB.EXE; V95.EXE; VBCONS.EXE; VBUST.EXE;
      VBWN9X.EXE; VBWNNTW.EXE; VENGNE.EX; VET32.EXE; VET95.EXE; VETTRAY.EXE;
      VNLAN300.EXE; VNPC3000.EXE; VPC32.EXE; VPC42.EXE; VPFW30S.EXE; VPTR
      AY.EXE; VPTRAY.EXE; VR-HELP.EXE; VSCAN40.EXE; VSCHED.EXE; VSECOM.EXE;
      VSHWN32.EXE; VSHWN32.EXE; VSMAN.EXE; VSMAN.EXE; VSMON.EXE; VSSTAT.EXE;
      VSSTAT.EXE; WATCHDOG.EXE; WATCHER.EXE; WEBSCANX.EXE; WEBTRAP.EXE;
      WFNDV32.EXE; WGFE95.EXE; WMMUN32.EXE; WNGATE.EXE; WNRECON.EXE;
      WNROUTE.EXE; WNT.EXE; WRADMN.EXE; WRCTRL.EXE; WSBGATE.EXE;
      XCOMMSVR.EXE; XPF202EN.EXE; ZAPRO.EXE; ZATUTOR.EXE; ZAUNST.EXE;
      ZONALM2601.EXE; ZONEALARM.EXE


Listado de los servicios desactivados:
   • System Restore
   • Internet Connection Firewall (Windows Firewall)/Internet Connection Sharing
   • Norton AntiVirus Auto-Protect Service (navapsvc)

 Backdoor (Puerta trasera) Abre los siguientes puertos:

%WINDIR%\services.exe en el puerto TCP 5119 para proporcionar capabilidades de backdoor.
%WINDIR%\services.exe en el puerto TCP 5112 para funcionar como servidor FTP.
%WINDIR%\services.exe en el puerto TCP 51100 para funcionar como servidor FTP.


Servidor contactado:
Uno de los siguientes:
   • fusionweb.no-ip**********:41100
   • fusionweb.no-ip**********:4110
   • fusionweb.no-ip**********:4112
   • fusionweb.no-ip**********:41100

De esta forma, puede enviar informaciones y obtener el control remoto. Además, rehace la conexión periódicamente.

Capabilidades de control remoto:
    • Listar directorio
    • Descargar fichero
    • Editar el registro del sistema
    • Ejecutar fichero
    • Abrir remote shell
    • Enviar mensajes de correo

 Robo de informaciones Intenta robar las siguientes informaciones:
– Informaciones acerca de la cuenta de correo, obtenidas de la clave del registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Las contraseñas de los siguientes programas:
   • CuteFTP
   • FlashFXP

– Se inicia una rutina de creación de ficheros log después de teclear el siguiente texto:
   • %any key%

– Captura:
    • Pulsaciones de teclado
    • Información de la ventana

 Informaciones diversas Serie de caracteres:
Además, incluye la siguiente serie de caracteres:
   • [ ProRat v1.9 Trojan Horse - Coded by PRO Group - Made in Turkey ]

 Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.


Oculta las siguientes:
– Sus propias claves del registro


Método empleado:
    • Oculto en Windows API

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Daniel Constantin el miércoles 15 de marzo de 2006
Descripción actualizada por Daniel Constantin el martes 21 de marzo de 2006

Volver . . . .