BDS/Prorat.16.47 - Backdoor Server

参照

概要

詳しい説明

統計

ウイルス	BDS/Prorat.16.47
発見日：	31/08/2005
タイプ	バックドア・サーバ型
感染報告有り	いいえ
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	1.586.688 バイト
MD5　チェックサム	F87808A97ECF77C6E4208C0A9010451D
VDFファージョン：	6.31.0.28

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Symantec(シマンテック) Backdoor.Prorat
   • Kaspersky(カスペルスキー) Backdoor.Win32.Prorat.16
   • Sophos(ソフォス) Troj/Prorat-P
   • Eset Win32/Prorat.16
   • ビットディフェンダー(Bitdefender)： Backdoor.Prorat.1.6

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • 悪意ファイルを作成します。
   • 文字入力を記録します。
   • レジストリの改変。
   • サード・パーティ・コントロール

ファイルそれ自体を以下の場所にコピーします。
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe
   • %WINDIR%\services.exe

以下のファイルが作成されます：

– %SYSDIR%\wininv.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。
– %SYSDIR%\winkey.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。
– %WINDIR%\ktd32.atm

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "DirectX For Microsoft® Windows"="%SYSDIR%\fservice.exe"

以下のレジストリ・キーが追加されます：

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
   • "StubPath"="%SYSDIR%\sservice.exe"

– [HKCU\Software\Microsoft DirectX\WinSettings]
   • "Bulas"=%ユーザ設定%
   • "FW_KILL"=%ユーザ設定%
   • "XP_FW_Disable"=%ユーザ設定%
   • "XP_SYS_Recovery"=%ユーザ設定%
   • "ICQ_UIN"=%ユーザ設定%
   • "ICQ_UIN2"=%ユーザ設定%
   • "Kurban_Ismi"=%ユーザ設定%
   • "Mail"=%ユーザ設定%
   • "Online_List"=%ユーザ設定%
   • "Port"=%ユーザ設定%
   • "Sifre"=%ユーザ設定%
   • "Hata"=%ユーザ設定%
   • "Tport"=%ユーザ設定%
   • "ServerVersionInt"=%ユーザ設定%

以下のレジストリ・キーは変更されます：

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   前の値
   • "Shell"="Explorer.exe"
   新しい値
   • "Shell"="Explorer.exe %SYSDIR%\fservice.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   前の値
   • "Start"=%ユーザ設定%
   新しい値
   • "Start"=dword:00000004

– [HKLM\SYSTEM\ControlSet001\Services\srservice]
   前の値
   • "Start"=%ユーザ設定%
   新しい値
   • "Start"=dword:00000004

バックドア以下のポートが開かれます：

– %WINDIR%\services.exe TCPポートに 5110 バックドアを開くため
– %WINDIR%\services.exe TCPポートに 5112 FTPサーバを供給するため
– %WINDIR%\services.exe TCPポートに 51100 FTPサーバを供給するため

以下についての情報を送ります：
    • キャッシュに入ったパスワード
    • スクリーンを取り込む
    • ウェブカムからショットを取り込む
    • 作成されたログファイル
    • ログインしているユーザ
    • IPアドレス
    • プラットフォームID
    • 起動中のプロセスについての情報
    • システムディレクトリ
    • ユーザーネーム
    • ウインドウズ・ディレクトリ
    • ウインドウズOSについての情報

リモート・コントロール機能
    • ファイルの削除
    • メッセージの表示
    • ダウンロード・ファイル
    • レジストリの編集
    • 実行ファイル
    • プロセスを強制終了する
    • リモートシェルを開く
    • システム再起動
    • メールを送る
    • システムをシャットダウンする
    • マルウェアを終了する
    • プロセスを終了する
    • ファイルをアップロードする
    • ウェブサイトを訪問します。

その他 文字列
さらに以下の文字列を含みます：
• [ProRat v1.4 Trojan Horse - Coded by P®O Group - Made in Turkey]

ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• Molebox

簡単な説明はココにあります。.

この説明は Dragos Tomescu によって Wed, 31 Aug 2005 15:45 (GMT+1) 書き込まれました。
この説明は Dragos Tomescu によって Fri, 02 Sep 2005 14:51 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back