Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/Prorat.16.47
La date de la découverte:13/12/2012
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:1.586.688 Octets
Somme de contrôle MD5:F87808A97ECF77C6E4208C0A9010451D
Version VDF:7.11.53.216

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Backdoor.Prorat
   •  Kaspersky: Backdoor.Win32.Prorat.16
   •  Sophos: Troj/Prorat-P
   •  Eset: Win32/Prorat.16
   •  Bitdefender: Backdoor.Prorat.1.6


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe
   • %WINDIR%\services.exe



Les fichiers suivants sont créés:

%SYSDIR%\wininv.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
%SYSDIR%\winkey.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
%WINDIR%\ktd32.atm

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "DirectX For Microsoft® Windows"="%SYSDIR%\fservice.exe"



Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
   • "StubPath"="%SYSDIR%\sservice.exe"

– [HKCU\Software\Microsoft DirectX\WinSettings]
   • "Bulas"=%réglages définis par l'utilisateur%
   • "FW_KILL"=%réglages définis par l'utilisateur%
   • "XP_FW_Disable"=%réglages définis par l'utilisateur%
   • "XP_SYS_Recovery"=%réglages définis par l'utilisateur%
   • "ICQ_UIN"=%réglages définis par l'utilisateur%
   • "ICQ_UIN2"=%réglages définis par l'utilisateur%
   • "Kurban_Ismi"=%réglages définis par l'utilisateur%
   • "Mail"=%réglages définis par l'utilisateur%
   • "Online_List"=%réglages définis par l'utilisateur%
   • "Port"=%réglages définis par l'utilisateur%
   • "Sifre"=%réglages définis par l'utilisateur%
   • "Hata"=%réglages définis par l'utilisateur%
   • "Tport"=%réglages définis par l'utilisateur%
   • "ServerVersionInt"=%réglages définis par l'utilisateur%



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
   La nouvelle valeur:
   • "Shell"="Explorer.exe %SYSDIR%\fservice.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   L'ancienne valeur:
   • "Start"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\ControlSet001\Services\srservice]
   L'ancienne valeur:
   • "Start"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Start"=dword:00000004

 Porte dérobée Les ports suivants sont ouverts:

%WINDIR%\services.exe sur le port TCP 5110 afin de fournir de capacités de porte dérobée
%WINDIR%\services.exe sur le port TCP 5112 afin de fournir un serveur FTP
%WINDIR%\services.exe sur le port TCP 51100 afin de fournir un serveur FTP

Il envoie de l'information au sujet de:
    • Les mots de passe en antémémoire:
    • Capture d'écran
    • Capture de web caméra
    • Crée de fichiers de journalisation.
    • Utilisateur courant
    • L'adresse IP:
    • L'ID de la plateforme
    • Information sur des processus courants
    • Répertoire de système
    • Nom d'utilisateur
    • Répertoire de Windows
    • Information sur le système d'exploitation Windows


Capacités d'accès à distance:
    • Supprime le fichier
    • Il affiche un message
    • Télécharger un fichier
    • Éditer le registre
    • Exécuter un fichier
    • Finir le processus
    • Ouvrir une ligne de commande à distance
    • Redémarrer le système
    • Envoyer des e-mails
    • Arrêter le système
    • Terminer le Malware
    • Terminer un processus
    • Charger un fichier
    • Visiter un site web

 Informations divers Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
   • [ProRat v1.4 Trojan Horse - Coded by P®O Group - Made in Turkey]

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • Molebox

Description insérée par Dragos Tomescu le mercredi 31 août 2005
Description mise à jour par Dragos Tomescu le vendredi 2 septembre 2005

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.