English
Deutsch
Francais
Español
Italian
Home
Virus Info
BDS/Prorat.M
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TechBlog
BDS/Prorat.M - Backdoor Server
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
BDS/Prorat.M
発見日:
19/09/2005
タイプ
バックドア・サーバ型
感染報告有り
いいえ
感染報告
低
感染の可能性
低
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
546.304 バイト
MD5 チェックサム
907993D4ED88AB7913029C2EB45D19CA
VDFファージョン:
6.30.0.213
一般情報
感染方法
• それ自体に伝染能力はない
別名
• Symantec(シマンテック) Backdoor.Prorat
• McAfee(マカフィー) BackDoor-AVW
• Kaspersky(カスペルスキー) Backdoor.Win32.Prorat.m
• TrendMicro(トレンドマイクロ) BKDR_PRORAT.AF
• ビットディフェンダー(Bitdefender): Trojan.Dropper.Agent.CO
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• セキュリティ・アプリケーションを無効にします。
• 悪意ファイルを作成します。
• それ自身のメール・エンジンを利用します。
• セキュリティの設定を低くします。
• 文字入力を記録します。
• レジストリの改変。
• 情報を盗みます。
• サード・パーティ・コントロール
起動後以下の情報が表示されます:
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\fservice.exe
•
%SYSDIR%
\sservice.exe
•
%WINDIR%
\services.exe
以下のファイルが作成されます:
–
%SYSDIR%
\winkey.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。
–
%SYSDIR%
\reginv.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。
–
%WINDIR%
\ktd32.atm このファイルは入力されたキーについて収集された情報を含みます。
レジストリ
以下のレジストリ・キーが、再起動後そのプロセスを実行するため、無限ループの中に持続的に追加されます:
– [HKLM\software\microsoft\windows\currentversion\policies\explorer\
Run]
• "DirectX For Microsoft® Windows"="
%SYSDIR%
\fservice.exe"
– [HKLM\software\microsoft\\Windows NT\CurrentVersion\Winlogon]
• "Shell"="Explorer.exe
%SYSDIR%
\fservice.exe"
以下のレジストリ・キーが追加されます:
– [HKCU\software\microsoft\Windows NT Script Host\Microsoft DxDiag\
WinSettings]
• "Bulas"="1"
• "FW_KILL"="1"
• "XP_FW_Disable"="1"
• "XP_SYS_Recovery"="1"
• "ICQ_UIN"="`c`ex/on,hq/bnl"
• "ICQ_UIN2"=""
• "Kurban_Ismi"="inru88"
• "Mail"="cmnne^gmnv3110Ax`inn/bnl"
• "Online_List"=""
• "Port"="4001"
• "Sifre"="cmnne896"
• "Hata"="Invalid memory address"
• "KSil"="0"
• "LanNotifie"=""
• "Tport"="0"
• "ServerVersionInt"="19"
– [HKLM\software\microsoft\\Active Setup\Installed Components\
{5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
• "StubPath"="
%SYSDIR%
\sservice.exe"
以下のレジストリ・キーは変更されます:
– [HKLM\software\microsoft\\Windows NT\CurrentVersion\Winlogon]
前の値
• "Shell"="Explorer.exe"
新しい値
• "Shell"="Explorer.exe
%SYSDIR%
\fservice.exe"
– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess]
前の値
• "Start"=
%ユーザ設定%
新しい値
• "Start"=dword:00000004
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
前の値
• "Start"=
%ユーザ設定%
新しい値
• "Start"=dword:00000004
– [HKLM\SYSTEM\ControlSet001\Services\srservice]
前の値
• "Start"=
%ユーザ設定%
新しい値
• "Start"=dword:00000004
– [HKLM\SYSTEM\CurrentControlSet\Services\srservice]
前の値
• "Start"=
%ユーザ設定%
新しい値
• "Start"=dword:00000004
Eメール
それ自身に伝染する能力はありませんが、メールを送る能力はあります。たいていは受信者が作成者になっているようです。特徴は下記のようになっています:
送信者
メールの送信者は以下の通りです:
• prorat@yahoo.com
宛先:
メールの受信者は以下の通りです:
• blood_flow2001yahoo.com
件名
以下のもの:
• ProRat [host99 Online]
本文
メールの本文は以下の通りです:
• [ProRat V1.9-Test-Version-8]
Victim is Online.
IP Address(es) :
%現在のIPアドレス%
Port :5110
Password :blood987
Victim name :host99
User name :
%現在のユーザ名%
Computer Name :
%コンピュータ名%
Date :
%現在の日付%
Time :
%現在の時間%
メールは以下のようなものです:
プロセス中断
以下のサービスは無効にされます:
• System Restore
• Internet Connection Firewall (Windows Firewall)/Internet Connection Sharing
• Norton AntiVirus Auto-Protect Service (navapsvc)
バックドア
以下のポートが開かれます:
–
%WINDIR%
\services.exe TCPポートに 5110 バックドアを開くため
–
%WINDIR%
\services.exe TCPポートに 5112 FTPサーバを供給するため
–
%WINDIR%
\services.exe TCPポートに 51100 FTPサーバを供給するため
窃盗
– 以下の文字列と合致するキー入力がされると、ログインを開始します:
• %any key%
– 取り込むのは:
• キー入力
• ウインドウ情報
ルートキット・テクノロジー(Rootkit Technology)
それはマルウェア特有のテクノロジーです。マルウェアはその存在を、システム・ユーティリティー、セキュリティー・アプリケーション、そしてユーザ自身からも隠します。
以下のものを隠します:
– それ自身のレジストリ・キー
使用されているメソッド:
• ウインドウズAPIから隠されています:
ファイルの詳細
プログラム言語:
このマルウェアプログラムはDelphi(デルファイ)で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。
簡単な説明は
ココ
にあります。.
この説明は Andrei Gherman によって Tue, 20 Sep 2005 09:01 (GMT+1) 書き込まれました。
この説明は Andrei Ivanes によって Tue, 20 Sep 2005 12:31 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.AD
Worm/Bagle.FJ
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/Klez.E
TR/PSW.Delf.CRW
TR/Dldr.VB.FSW
DR/Dldr.VB.VYP
TR/Dldr.Renos.CH
TR/Buzus.iij
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2009 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
