English
Deutsch
Francais
Español
Italian
Accueil
Menaces
BDS/Prorat.16.47
Recherche
Accueil
Support
Solutions
Produits
Téléchargements
Menaces
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Société
Presse
Partenaires
Newsletter
BDS/Prorat.16.47 - Backdoor Server
A voir aussi
Brève description
Description complète
Statistiques
How would you rate this information?
Worthless
Excellent
Nom:
BDS/Prorat.16.47
La date de la découverte:
31/08/2005
Type:
Serveur porte dérobée
En circulation:
Non
Infections signalées
Faible
Potentiel de distribution:
Faible
Potentiel de destruction:
Moyen
Fichier statique:
Oui
Taille du fichier:
1.586.688 Octets
Somme de contrôle MD5:
F87808A97ECF77C6E4208C0A9010451D
Version VDF:
6.31.0.28
Général
Méthode de propagation:
• Il ne possède pas de propre routine de propagation
Les alias:
• Symantec: Backdoor.Prorat
• Kaspersky: Backdoor.Win32.Prorat.16
• Sophos: Troj/Prorat-P
• Eset: Win32/Prorat.16
• Bitdefender: Backdoor.Prorat.1.6
Plateformes / Systèmes d'exploitation:
• Windows 96
• Windows 99
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effets secondaires:
• Il crée des fichiers malveillants
• Il enregistre les frappes de touche
• Il modifie des registres
• Il facilite l'accès non autorisé à l'ordinateur
Fichiers
Il s'autocopie dans les emplacements suivants:
•
%SYSDIR%
\fservice.exe
•
%SYSDIR%
\sservice.exe
•
%WINDIR%
\services.exe
Les fichiers suivants sont créés:
–
%SYSDIR%
\wininv.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
–
%SYSDIR%
\winkey.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
–
%WINDIR%
\ktd32.atm
Registre
La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run]
• "DirectX For Microsoft® Windows"="
%SYSDIR%
\fservice.exe"
Les clés de registre suivantes sont ajoutée:
– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
{5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
• "StubPath"="
%SYSDIR%
\sservice.exe"
– [HKCU\Software\Microsoft DirectX\WinSettings]
• "Bulas"=
%réglages définis par l'utilisateur%
• "FW_KILL"=
%réglages définis par l'utilisateur%
• "XP_FW_Disable"=
%réglages définis par l'utilisateur%
• "XP_SYS_Recovery"=
%réglages définis par l'utilisateur%
• "ICQ_UIN"=
%réglages définis par l'utilisateur%
• "ICQ_UIN2"=
%réglages définis par l'utilisateur%
• "Kurban_Ismi"=
%réglages définis par l'utilisateur%
• "Mail"=
%réglages définis par l'utilisateur%
• "Online_List"=
%réglages définis par l'utilisateur%
• "Port"=
%réglages définis par l'utilisateur%
• "Sifre"=
%réglages définis par l'utilisateur%
• "Hata"=
%réglages définis par l'utilisateur%
• "Tport"=
%réglages définis par l'utilisateur%
• "ServerVersionInt"=
%réglages définis par l'utilisateur%
Les clés de registre suivantes sont changées:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
L'ancienne valeur:
• "Shell"="Explorer.exe"
La nouvelle valeur:
• "Shell"="Explorer.exe
%SYSDIR%
\fservice.exe"
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
L'ancienne valeur:
• "Start"=
%réglages définis par l'utilisateur%
La nouvelle valeur:
• "Start"=dword:00000004
– [HKLM\SYSTEM\ControlSet001\Services\srservice]
L'ancienne valeur:
• "Start"=
%réglages définis par l'utilisateur%
La nouvelle valeur:
• "Start"=dword:00000004
Porte dérobée
Les ports suivants sont ouverts:
–
%WINDIR%
\services.exe sur le port TCP 5110 afin de fournir de capacités de porte dérobée
–
%WINDIR%
\services.exe sur le port TCP 5112 afin de fournir un serveur FTP
–
%WINDIR%
\services.exe sur le port TCP 51100 afin de fournir un serveur FTP
Il envoie de l'information au sujet de:
• Les mots de passe en antémémoire:
• Capture d'écran
• Capture de web caméra
• Crée de fichiers de journalisation.
• Utilisateur courant
• L'adresse IP:
• L'ID de la plateforme
• Information sur des processus courants
• Répertoire de système
• Nom d'utilisateur
• Répertoire de Windows
• Information sur le système d'exploitation Windows
Capacités d'accès à distance:
• Supprime le fichier
• Il affiche un message
• Télécharger un fichier
• Éditer le registre
• Exécuter un fichier
• Finir le processus
• Ouvrir une ligne de commande à distance
• Redémarrer le système
• Envoyer des e-mails
• Arrêter le système
• Terminer le Malware
• Terminer un processus
• Charger un fichier
• Visiter un site web
Informations divers
Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
• [ProRat v1.4 Trojan Horse - Coded by P®O Group - Made in Turkey]
Détails de fichier
Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• Molebox
Voir la description brève
ici
.
Description inséré par Dragos Tomescu sur Wed, 31 Aug 2005 15:45 (GMT+1)
Description mise à jour par Dragos Tomescu sur Fri, 02 Sep 2005 14:51 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Retour
Imprimer cette page
Worm/Mytob.AD
TR/Crypt.CFI.Gen
Worm/Klez.E
Worm/Mytob.CD
W32/Elkern.C
TR/Dldr.Renos.CH
TR/Buzus.iij
TR/Dldr.Banload.ins
TR/Banker.Banker.acdq
TR/Dldr.AutoRun.T.2
© 2009 Avira GmbH
Copyright
Domaine privé
Plan du site
Feedback
Marque d’impression
FAQ
Contact
Menaces BDS/Prorat.16.47
Imprimer cette page
