Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/Prorat.16.47
La date de la dcouverte:13/12/2012
Type:Serveur porte drobe
En circulation:Non
Infections signales Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:1.586.688 Octets
Somme de contrle MD5:F87808A97ECF77C6E4208C0A9010451D
Version VDF:7.11.53.216

 Gnral Mthode de propagation:
   • Il ne possde pas de propre routine de propagation


Les alias:
   •  Symantec: Backdoor.Prorat
   •  Kaspersky: Backdoor.Win32.Prorat.16
   •  Sophos: Troj/Prorat-P
   •  Eset: Win32/Prorat.16
   •  Bitdefender: Backdoor.Prorat.1.6


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre des fichiers malveillants
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe
   • %WINDIR%\services.exe



Les fichiers suivants sont crs:

%SYSDIR%\wininv.dll Les investigations ultrieures ont prouv que ce ficher est galement un Malware.
%SYSDIR%\winkey.dll Les investigations ultrieures ont prouv que ce ficher est galement un Malware.
%WINDIR%\ktd32.atm

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "DirectX For Microsoft Windows"="%SYSDIR%\fservice.exe"



Les cls de registre suivantes sont ajoute:

[HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
   • "StubPath"="%SYSDIR%\sservice.exe"

[HKCU\Software\Microsoft DirectX\WinSettings]
   • "Bulas"=%rglages dfinis par l'utilisateur%
   • "FW_KILL"=%rglages dfinis par l'utilisateur%
   • "XP_FW_Disable"=%rglages dfinis par l'utilisateur%
   • "XP_SYS_Recovery"=%rglages dfinis par l'utilisateur%
   • "ICQ_UIN"=%rglages dfinis par l'utilisateur%
   • "ICQ_UIN2"=%rglages dfinis par l'utilisateur%
   • "Kurban_Ismi"=%rglages dfinis par l'utilisateur%
   • "Mail"=%rglages dfinis par l'utilisateur%
   • "Online_List"=%rglages dfinis par l'utilisateur%
   • "Port"=%rglages dfinis par l'utilisateur%
   • "Sifre"=%rglages dfinis par l'utilisateur%
   • "Hata"=%rglages dfinis par l'utilisateur%
   • "Tport"=%rglages dfinis par l'utilisateur%
   • "ServerVersionInt"=%rglages dfinis par l'utilisateur%



Les cls de registre suivantes sont changes:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
   La nouvelle valeur:
   • "Shell"="Explorer.exe %SYSDIR%\fservice.exe"

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   L'ancienne valeur:
   • "Start"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "Start"=dword:00000004

[HKLM\SYSTEM\ControlSet001\Services\srservice]
   L'ancienne valeur:
   • "Start"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "Start"=dword:00000004

 Porte drobe Les ports suivants sont ouverts:

%WINDIR%\services.exe sur le port TCP 5110 afin de fournir de capacits de porte drobe
%WINDIR%\services.exe sur le port TCP 5112 afin de fournir un serveur FTP
%WINDIR%\services.exe sur le port TCP 51100 afin de fournir un serveur FTP

Il envoie de l'information au sujet de:
     Les mots de passe en antmmoire:
     Capture d'cran
     Capture de web camra
     Cre de fichiers de journalisation.
     Utilisateur courant
     L'adresse IP:
     L'ID de la plateforme
     Information sur des processus courants
     Rpertoire de systme
     Nom d'utilisateur
     Rpertoire de Windows
     Information sur le systme d'exploitation Windows


Capacits d'accs distance:
     Supprime le fichier
     Il affiche un message
     Tlcharger un fichier
     diter le registre
     Excuter un fichier
     Finir le processus
     Ouvrir une ligne de commande distance
     Redmarrer le systme
     Envoyer des e-mails
     Arrter le systme
     Terminer le Malware
     Terminer un processus
     Charger un fichier
     Visiter un site web

 Informations divers Chane de caractres:
Ensuite il contient la chane de caractres suivante:
   • [ProRat v1.4 Trojan Horse - Coded by PO Group - Made in Turkey]

 Dtails de fichier Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • Molebox

Description insérée par Dragos Tomescu le mercredi 31 août 2005
Description mise à jour par Dragos Tomescu le vendredi 2 septembre 2005

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.