PCの修理が必要ですか?
専門家に頼む
ウイルスBDS/Prorat.16.47
発見日:13/12/2012
タイプバックドア・サーバ型
感染報告有りいいえ
感染報告
感染の可能性
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ1.586.688 バイト
MD5 チェックサムF87808A97ECF77C6E4208C0A9010451D
VDFファージョン:7.11.53.216

 一般情報 感染方法
   • それ自体に伝染能力はない


別名
   •  Symantec: Backdoor.Prorat
   •  Kaspersky: Backdoor.Win32.Prorat.16
   •  Sophos: Troj/Prorat-P
   •  Eset Win32/Prorat.16
   •  Bitdefender: Backdoor.Prorat.1.6


プラットフォーム/OS:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用
   • 悪意ファイルを作成します。
   • 文字入力を記録します。
   • レジストリの改変。
   • サード・パーティ・コントロール

 ファイル それ自体を以下の場所にコピーします。
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe
   • %WINDIR%\services.exe



以下のファイルが作成されます:

%SYSDIR%\wininv.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。
%SYSDIR%\winkey.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。
%WINDIR%\ktd32.atm

 レジストリ 以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "DirectX For Microsoft® Windows"="%SYSDIR%\fservice.exe"



以下のレジストリ・キーが追加されます:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
   • "StubPath"="%SYSDIR%\sservice.exe"

– [HKCU\Software\Microsoft DirectX\WinSettings]
   • "Bulas"=%ユーザ設定%
   • "FW_KILL"=%ユーザ設定%
   • "XP_FW_Disable"=%ユーザ設定%
   • "XP_SYS_Recovery"=%ユーザ設定%
   • "ICQ_UIN"=%ユーザ設定%
   • "ICQ_UIN2"=%ユーザ設定%
   • "Kurban_Ismi"=%ユーザ設定%
   • "Mail"=%ユーザ設定%
   • "Online_List"=%ユーザ設定%
   • "Port"=%ユーザ設定%
   • "Sifre"=%ユーザ設定%
   • "Hata"=%ユーザ設定%
   • "Tport"=%ユーザ設定%
   • "ServerVersionInt"=%ユーザ設定%



以下のレジストリ・キーは変更されます:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   前の値
   • "Shell"="Explorer.exe"
   新しい値
   • "Shell"="Explorer.exe %SYSDIR%\fservice.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   前の値
   • "Start"=%ユーザ設定%
   新しい値
   • "Start"=dword:00000004

– [HKLM\SYSTEM\ControlSet001\Services\srservice]
   前の値
   • "Start"=%ユーザ設定%
   新しい値
   • "Start"=dword:00000004

 バックドア 以下のポートが開かれます:

%WINDIR%\services.exe TCPポートに 5110 バックドアを開くため
%WINDIR%\services.exe TCPポートに 5112 FTPサーバを供給するため
%WINDIR%\services.exe TCPポートに 51100 FTPサーバを供給するため

以下についての情報を送ります:
    • キャッシュに入ったパスワード
    • スクリーンを取り込む
    • ウェブカムからショットを取り込む
    • 作成されたログファイル
    • ログインしているユーザ
    • IPアドレス
    • プラットフォームID
    • 起動中のプロセスについての情報
    • システムディレクトリ
    • ユーザーネーム
    • ウインドウズ・ディレクトリ
    • ウインドウズOSについての情報


リモート・コントロール機能
    • ファイルの削除
    • メッセージの表示
    • ダウンロード・ファイル
    • レジストリの編集
    • 実行ファイル
    • プロセスを強制終了する
    • リモートシェルを開く
    • システム再起動
    • メールを送る
    • システムをシャットダウンする
    • マルウェアを終了する
    • プロセスを終了する
    • ファイルをアップロードする
    • ウェブサイトを訪問します。

 その他 文字列
さらに以下の文字列を含みます:
   • [ProRat v1.4 Trojan Horse - Coded by P®O Group - Made in Turkey]

 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
   • Molebox

説明の挿入者 Dragos Tomescu の 2005年8月31日水曜日
説明の更新者 Dragos Tomescu の 2005年9月2日金曜日

戻る . . . .
https:// このウィンドウは暗号化されています。