Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:BDS/Prorat.16.47
Scoperto:13/12/2012
Tipo:Backdoor Server
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:1.586.688 Byte
Somma di controllo MD5:F87808A97ECF77C6E4208C0A9010451D
Versione VDF:7.11.53.216

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Backdoor.Prorat
   •  Kaspersky: Backdoor.Win32.Prorat.16
   •  Sophos: Troj/Prorat-P
   •  Eset: Win32/Prorat.16
   •  Bitdefender: Backdoor.Prorat.1.6


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file maligni
   • Registra le battute di tastiera
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe
   • %WINDIR%\services.exe



Vengono creati i seguenti file:

%SYSDIR%\wininv.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware.
%SYSDIR%\winkey.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware.
%WINDIR%\ktd32.atm

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "DirectX For Microsoft Windows"="%SYSDIR%\fservice.exe"



Vengono aggiunte le seguenti chiavi di registro:

[HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
   • "StubPath"="%SYSDIR%\sservice.exe"

[HKCU\Software\Microsoft DirectX\WinSettings]
   • "Bulas"=%impostazioni definite dell'utente%
   • "FW_KILL"=%impostazioni definite dell'utente%
   • "XP_FW_Disable"=%impostazioni definite dell'utente%
   • "XP_SYS_Recovery"=%impostazioni definite dell'utente%
   • "ICQ_UIN"=%impostazioni definite dell'utente%
   • "ICQ_UIN2"=%impostazioni definite dell'utente%
   • "Kurban_Ismi"=%impostazioni definite dell'utente%
   • "Mail"=%impostazioni definite dell'utente%
   • "Online_List"=%impostazioni definite dell'utente%
   • "Port"=%impostazioni definite dell'utente%
   • "Sifre"=%impostazioni definite dell'utente%
   • "Hata"=%impostazioni definite dell'utente%
   • "Tport"=%impostazioni definite dell'utente%
   • "ServerVersionInt"=%impostazioni definite dell'utente%



Vengono cambiate le seguenti chiavi di registro:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "Shell"="Explorer.exe"
   Nuovo valore:
   • "Shell"="Explorer.exe %SYSDIR%\fservice.exe"

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valore precedente:
   • "Start"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start"=dword:00000004

[HKLM\SYSTEM\ControlSet001\Services\srservice]
   Valore precedente:
   • "Start"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start"=dword:00000004

 Backdoor Le seguenti porte sono aperte:

%WINDIR%\services.exe sulla porta TCP 5110 con lo scopo di procurarsi delle possibili backdoor.
%WINDIR%\services.exe sulla porta TCP 5112 con lo scopo di procurarsi un server FTP.
%WINDIR%\services.exe sulla porta TCP 51100 con lo scopo di procurarsi un server FTP.

Invia informazioni riguardanti:
     Password memorizzate nella cache
     Immagine catturata dallo schermo
     Immagine catturata dalla webcam
     File LOG creati
     Utente corrente
     Indirizzo IP
     ID della piattaforma
     Informazioni sui processi in corso
     Directory di sistema
     Nome Utente
     Directory di Windows
     Informazioni sul sistema operativo Windows


Capacit di controllo remoto:
     Cancella il file
     Visualizza un messaggio
     Download di file
     Modificare il registro
     Eseguire file
     Terminare il processo
     Aprire condivisione remota
     Riavviare il sistema
     Inviare email
     Arrestare il sistema
     Terminare il malware
     Terminare il processo
     Carica un file
     Visitare un sito web

 Varie Stringa:
In pi contiene la seguente stringa:
   • [ProRat v1.4 Trojan Horse - Coded by PO Group - Made in Turkey]

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • Molebox

Descrizione inserita da Dragos Tomescu su mercoledì 31 agosto 2005
Descrizione aggiornata da Dragos Tomescu su venerdì 2 settembre 2005

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.