Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:BDS/Prorat.16.47
Scoperto:13/12/2012
Tipo:Backdoor Server
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:1.586.688 Byte
Somma di controllo MD5:F87808A97ECF77C6E4208C0A9010451D
Versione VDF:7.11.53.216

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Backdoor.Prorat
   •  Kaspersky: Backdoor.Win32.Prorat.16
   •  Sophos: Troj/Prorat-P
   •  Eset: Win32/Prorat.16
   •  Bitdefender: Backdoor.Prorat.1.6


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Registra le battute di tastiera
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe
   • %WINDIR%\services.exe



Vengono creati i seguenti file:

%SYSDIR%\wininv.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware.
%SYSDIR%\winkey.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware.
%WINDIR%\ktd32.atm

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "DirectX For Microsoft® Windows"="%SYSDIR%\fservice.exe"



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
   • "StubPath"="%SYSDIR%\sservice.exe"

– [HKCU\Software\Microsoft DirectX\WinSettings]
   • "Bulas"=%impostazioni definite dell'utente%
   • "FW_KILL"=%impostazioni definite dell'utente%
   • "XP_FW_Disable"=%impostazioni definite dell'utente%
   • "XP_SYS_Recovery"=%impostazioni definite dell'utente%
   • "ICQ_UIN"=%impostazioni definite dell'utente%
   • "ICQ_UIN2"=%impostazioni definite dell'utente%
   • "Kurban_Ismi"=%impostazioni definite dell'utente%
   • "Mail"=%impostazioni definite dell'utente%
   • "Online_List"=%impostazioni definite dell'utente%
   • "Port"=%impostazioni definite dell'utente%
   • "Sifre"=%impostazioni definite dell'utente%
   • "Hata"=%impostazioni definite dell'utente%
   • "Tport"=%impostazioni definite dell'utente%
   • "ServerVersionInt"=%impostazioni definite dell'utente%



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "Shell"="Explorer.exe"
   Nuovo valore:
   • "Shell"="Explorer.exe %SYSDIR%\fservice.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valore precedente:
   • "Start"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\ControlSet001\Services\srservice]
   Valore precedente:
   • "Start"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start"=dword:00000004

 Backdoor Le seguenti porte sono aperte:

%WINDIR%\services.exe sulla porta TCP 5110 con lo scopo di procurarsi delle possibili backdoor.
%WINDIR%\services.exe sulla porta TCP 5112 con lo scopo di procurarsi un server FTP.
%WINDIR%\services.exe sulla porta TCP 51100 con lo scopo di procurarsi un server FTP.

Invia informazioni riguardanti:
    • Password memorizzate nella cache
    • Immagine “catturata” dallo schermo
    • Immagine “catturata” dalla webcam
    • File LOG creati
    • Utente corrente
    • Indirizzo IP
    • ID della piattaforma
    • Informazioni sui processi in corso
    • Directory di sistema
    • Nome Utente
    • Directory di Windows
    • Informazioni sul sistema operativo Windows


Capacità di controllo remoto:
    • Cancella il file
    • Visualizza un messaggio
    • Download di file
    • Modificare il registro
    • Eseguire file
    • Terminare il processo
    • Aprire condivisione remota
    • Riavviare il sistema
    • Inviare email
    • Arrestare il sistema
    • Terminare il malware
    • Terminare il processo
    • Carica un file
    • Visitare un sito web

 Varie Stringa:
In più contiene la seguente stringa:
   • [ProRat v1.4 Trojan Horse - Coded by P®O Group - Made in Turkey]

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • Molebox

Descrizione inserita da Dragos Tomescu su mercoledì 31 agosto 2005
Descrizione aggiornata da Dragos Tomescu su venerdì 2 settembre 2005

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.