VírusBDS/Prorat.M.B.38
Data em que surgiu:15/03/2006
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:357.932 Bytes
MD5 checksum:d1dabb99aaeacf1ae918f2e3f2abc2e9
Versão VDF:6.33.00.119

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: Backdoor.Prorat
   •  Mcafee: BackDoor-AVW
   •  Kaspersky: Backdoor.Win32.Prorat.19.al
   •  TrendMicro: BKDR_PRORAT.19
   •  VirusBuster: Backdoor.Prorat.AE
   •  Bitdefender: Backdoor.Prorat.1.9


Sistemas Operativos:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe
   • %WINDIR%\services.exe



Apaga a cópia executada inicialmente.



Elimina os seguintes ficheiros:
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe



São criados os seguintes ficheiros:

%SYSDIR%\winkey.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: BDS/Prorat.19.H

%SYSDIR%\reginv.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Drop.Agent.co.2

%WINDIR%\ktd32.atm O ficheiro contém informação das teclas pressionadas.
%directório de execução do malware%\%ficheiro executado%.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.

 Registry (Registo do Windows) A chave seguinte é adicionada (num loop infinito) ao registo, para executar os processos depois de reinicializar.

–  [HKLM\software\microsoft\windows\currentversion\policies\explorer\
   Run]
   • "DirectX For Microsoft® Windows"="%SYSDIR%\fservice.exe"



São adicionadas as seguintes chaves ao registo:

– [HKCU\software\microsoft\Windows NT Script Host\Microsoft DxDiag\
   WinSettings]
   • "Bulas"="1"
   • "FW_KILL"="1"
   • "XP_FW_Disable="1"
   • "XP_SYS_Recovery"="1"
   • "ICQ_UIN"="qvro/on,hq/hogn"
   • "ICQ_UIN2"=""
   • "Kurban_Ismi"="whbuhl"
   • "Mail"=""
   • "Online_List"=""
   • "Port"="4001"
   • "Sifre"="ehbd547"
   • "Hata"=""
   • "KSil"="1"
   • "LanNotifie"=""
   • "Tport"="0"
   • "ServerVersionInt"="19"

– [HKLM\software\microsoft\Active Setup\Installed Components\
   {5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
   • "StubPath"="%SYSDIR%\sservice.exe"



Altera as seguintes chaves de registo do Windows:

– [HKLM\software\microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   Valor recente:
   • "Shell"="Explorer.exe %SYSDIR%\fservice.exe"

 Terminar o processo A seguinte lista de processos são terminados:
   • _AVP32.EXE; _AVP32.EXE; _AVPCC.EXE; _AVPM.EXE; _SMC.EXE; ACKWIN32.EXE;
      ADMINTOOL.EXE; ADVXDWIN.EXE; AGENTA.EXE; AGENTSVR.EXE; ALERTSVC.EXE;
      ALG.EXE; ALOGSERV.EXE; AMON.EXE; AMON9X.EXE; ANTITROJ.EXE;
      ANTI-TROJAN.EXE; ANTIVIRUS.EXE; ANTS.EXE; APIMONITOR.EXE;
      APLICA32.EXE; APVXDWIN.EXE; ASHDISP.EXE; ASHQUICK.EXE; ATCON.EXE;
      ATGUARD.EXE; ATRO55EN.EXE; ATUPDATER.EXE; ATWATCH.EXE; ATWATCH.EXE;
      AUTOTRACE.EXE; AVCONSOL.EXE; AVCONSOL.EXE; AVENGINE.EXE; AVENGINE.EXE;
      AVGCC32.EXE; AVGCTRL.EXE; AVGNT.EXE; AVGSERV.EXE; AVGSERV9.EXE;
      AVGUARD.EXE; AVGW.EXE; AVKPOP.EXE; AVKSERV.EXE; AVKSERVICE.EXE;
      AVKWCTL.EXE; AVKWCTL9.EXE; AVP.EXE; AVP32.EXE; AVPCC.EXE; AVPCC.EXE;
      AVPM.EXE; AVSCHED32.EXE; AVSYNMGR.EXE; AVSYNMGR.EXE; AVWIN.EXE;
      AVWINNT.EXE; AVXGUI.EXE; AVXLIVE.EXE; AVXMONITOR9X.EXE;
      AVXMONITORNT.EXE; AVXQUAR.EXE; AVXW.EXE; BD_PROFESSIONAL.EXE;
      BIDEF.EXE; BIDSERVER.EXE; BIPCP.EXE; BISP.EXE; BLACKD.EXE;
      BLACKICE.EXE; BOOTSCAN.EXE; BOOTWARN.EXE; BORG2.EXE; BS120.EXE;
      CDP.EXE; CFGINTPR.EXE; CFGWIZ.EXE; CFIADMIN.EXE; CFIAUDIT.EXE;
      CFINET.EXE; CFINET32.EXE; CLAW95.EXE; CLAW95CF.EXE; CLEAN.EXE;
      CLEANER.EXE; CLEANER3.EXE; CLEANPC.EXE; CMGRDIAN.EXE; CMON016.EXE;
      CONNECTIONMONITOR.EXE; CPF9X206.EXE; CPFNT206.EXE; CTRL.EXE; CV.EXE;
      CWNB181.EXE; CWNTDWMO.EXE; DEFSCANGUI.EXE; DEFWATCH.EXE; DEPUTY.EXE;
      DOORS.EXE; DPATROL.EXE; DPF.EXE; DRWEB32.EXE; DRWEBSCD.EXE; DVP95.EXE;
      DVP95_0.EXE; ECENGINE.EXE; EFPEADM.EXE; ENT.EXE; ESAFE.EXE;
      ESCANH95.EXE; ESCANHNT.EXE; ESCANV95.EXE; ESPWATCH.EXE;
      ETRUSTCIPE.EXE; EVPN.EXE; EXANTIVIRUS-CNET.EXE; EXPERT.EXE;
      F-AGNT95.EXE; FAMEH32.EXE; FAST.EXE; FCH32.EXE; FIH32.EXE;
      FINDVIRU.EXE; FIREWALL.EXE; FLOWPROTECTOR.EXE; FNRB32.EXE; F-PROT.EXE;
      F-PROT95.EXE; FP-WIN.EXE; FRW.EXE; FSA.EXE; FSAA.EXE; FSAV.EXE;
      FSAV32.EXE; FSAV530STBYB.EXE; FSAVSTRT.EXE; FSM32.EXE; FSMA32.EXE;
      FSMB32.EXE; F-STOPW.EXE; GBMENU.EXE; GBPOLL.EXE; GENERICS.EXE;
      GLADIATOR.EXE; GUARD.EXE; GUARDDOG.EXE; GUARDER.EXE;
      HACKERELIMINATOR.EXE; HACKTRACERSETUP.EXE; HTLOG.EXE; HWPE.EXE;
      IAMAPP.EXE; IAMSERV.EXE; IAMSTATS.EXE; IBMASN.EXE; IBMAVSP.EXE;
      ICLOAD95.EXE; ICLOADNT.EXE; ICMON.EXE; ICSUPP95.EXE; ICSUPPNT.EXE;
      IFACE.EXE; IFW2000.EXE; IOMON98.EXE; IPARMOR.EXE; IRIS.EXE;
      ISRV95.EXE; JAMMER.EXE; JEDI.EXE; KAVLITE40ENG.EXE; KAVPERS40ENG.EXE;
      LDNETMON.EXE; LDPRO.EXE; LDPROMENU.EXE; LDSCAN.EXE; LOCKDOWN.EXE;
      LOCKDOWN2000.EXE; LOGMON.EXE; LOOKOUT.EXE; LUALL.EXE; LUAU.EXE;
      MCAGENT.EXE; MCMNHDLR.EXE; MCSHIELD.EXE; MCTOOL.EXE; MCVSRTE.EXE;
      MCVSSHLD.EXE; MFW2EN.EXE; MGAVRTCL.EXE; MGAVRTE.EXE; MGHTML.EXE;
      MGUI.EXE; MINILOG.EXE; MONITOR.EXE; MPFAGENT.EXE; MPFSERVICE.EXE;
      MPFTRAY.EXE; MPFTRAY.EXE; MSSMMC32.EXE; MU0311AD.EXE; MWATCH.EXE;
      N32SCANW.EXE; NAVAPW32.EXE; NAVDX.EXE; NAVLU32.EXE; NAVSTUB.EXE;
      NAVW32.EXE; NAVWNT.EXE; NC2000.EXE; NEOWATCHLOG.EXE; NEOWATCHTRAY.EXE;
      NETARMOR.EXE; NETINFO.EXE; NETMON.EXE; NETSCANPRO.EXE;
      NETSPYHUNTER-1.2.EXE; NETUTILS.EXE; NIP.EXE; NISSERV.EXE; NISUM.EXE;
      NOD32.EXE; NORMIST.EXE; NPF40_TW_98_NT_ME_2K.EXE; NPFMESSENGER.EXE;
      NPSSVC.EXE; NSCHED32.EXE; NTRTSCAN.EXE; NTVDM.EXE; NTXCONFIG.EXE;
      NUI.EXE; NVARCH16.EXE; NVC95.EXE; NWSERVICE.EXE; NWTOOL16.EXE;
      NYMSE.EXE; OSTRONET.EXE; OUTPOST.EXE; PADMIN.EXE; PANIXK.EXE;
      PAVCL.EXE; PAVFIRES.EXE; PAVPROXY.EXE; PAVPRSRV.EXE; PAVSRV51.EXE;
      PAVW.EXE; PCC2002S902.EXE; PCC2K_76_1436.EXE; PCCCLIENT.EXE;
      PCCGUIDE.EXE; PCCIOMON.EXE; PCCNTMON.EXE; PCCPFW.EXE; PCCWIN97.EXE;
      PCCWIN98.EXE; PCFWALLICON.EXE; PCSCAN.EXE; PERISCOPE.EXE; PERSFW.EXE;
      PF2.EXE; PFWADMIN.EXE; PINGSCAN.EXE; PLATIN.EXE; POP3TRAP.EXE;
      POPROXY.EXE; PORTDETECTIVE.EXE; PORTMONITOR.EXE; PPTBC.EXE;
      PPVSTOP.EXE; PROCMAN.EXE; PROGRAMAUDITOR.EXE; PROPORT.EXE;
      PROTECTX.EXE; PSPF.EXE; PURGE.EXE; PVIEW95.EXE; QCONSOLE.EXE;
      QSERVER.EXE; RAPAPP.EXE; RAV7.EXE; RAV7WIN.EXE; RAV8WIN32ENG.EXE;
      RAVMON.EXE; RAVWIN8.EXE; REALMON.EXE; REGSHOT.EXE; RMVTRJAN.EXE;
      RRGUARD.EXE; RSHELL.EXE; RTVSCN95.EXE; RULAUNCH.EXE; SAFEWEB.EXE;
      SBSERV.EXE; SCAN.EXE; SCAN32.EXE; SCANPM.EXE; SCRSCAN.EXE; SD.EXE;
      SFC.EXE; SGSSFW32.EXE; SH.EXE; SHN.EXE; SMC.EXE; SOFI.EXE; SPF.EXE;
      SPFW.EXE; SPHINX.EXE; SPYXX.EXE; SS3EDIT.EXE; ST.EXE; ST2.EXE;
      SUPFTRL.EXE; SUPPORTER5.EXE; SWEEP95.EXE; SWNETSUP.EXE;
      SYMPROXYSVC.EXE; TASKALERT.EXE; TAUMON.EXE; TAUSCAN.EXE; TBSCAN.EXE;
      TC.EXE; TCA.EXE; TCM.EXE; TDS2-98.EXE; TDS2-NT.EXE; TDS-3.EXE;
      TFAK.EXE; TFAK5.EXE; TGBOB.EXE; THGUARD.EXE; TITANIN.EXE;
      TITANINXP.EXE; TRJSCAN.EXE; TROJAN.EXE; TROJANHUNTER.EXE;
      TROJANTRAP3.EXE; TUCONF.EXE; UMXAGENT.EXE; UMXLDRA.EXE; V530WTBYB.EXE;
      V95.EXE; VBCONS.EXE; VBUST.EXE; VBWIN9X.EXE; VBWINNTW.EXE; VET32.EXE;
      VET95.EXE; VETTRAY.EXE; VIR-HELP.EXE; VNLAN300.EXE; VNPC3000.EXE;
      VPC32.EXE; VPC42.EXE; VPFW30S.EXE; VPTRAY.EXE; VPTRAY.EXE;
      VSCAN40.EXE; VSCHED.EXE; VSECOM.EXE; VSHWIN32.EXE; VSHWIN32.EXE;
      VSMAIN.EXE; VSMAIN.EXE; VSMON.EXE; VSSTAT.EXE; VSSTAT.EXE;
      WATCHDOG.EXE; WATCHER.EXE; WEBSCANX.EXE; WEBTRAP.EXE; WFINDV32.EXE;
      WGFE95.EXE; WIMMUN32.EXE; WINGATE.EXE; WINRECON.EXE; WINROUTE.EXE;
      WNT.EXE; WRADMIN.EXE; WRCTRL.EXE; WSBGATE.EXE; XCOMMSVR.EXE;
      XPF202EN.EXE; ZAPRO.EXE; ZATUTOR.EXE; ZONALM2601.EXE; ZONEALARM.EXE


Lista de serviços desactivados:
   • System Restore
   • Internet Connection Firewall (Windows Firewall)/Internet Connection Sharing
   • Norton AntiVirus Auto-Protect Service

 Backdoor São abertas as seguintes portas:

%WINDIR%\services.exe numa porta TCP 5110 Por forma a fornecer capacidades backdoor.
%WINDIR%\services.exe numa porta TCP 5112 Por forma a fornecer um servidor FTP.
%WINDIR%\services.exe numa porta TCP 51100 Por forma a fornecer um servidor FTP.


Contacta o servidor:
Seguintes:
   • pwsn.no-ip.info:41100
   • pwsn.no-ip.info:4112
   • pwsn.no-ip.info:4110

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Também, repete a ligação periodicamente.

Envia informação sobre:
    • Nome do computador
    • Velocidade do CPU
    • Tipo de CPU
    • Endereço IP
    • Situação actual de malware
    • Informações sobre a rede
    • Porta aberta
    • Informação sobre processos em execução
    • Hora de Sistema
    • Nome de utilizador
    • Actividade do utilizador
    • o URL visitado
    • Informação sobre o sistema operativo Windows


Capacidades de controlo remoto:
    • Lista de directórios
    • Download de ficheiros
    • Editar o registo do Windows
    • Executa o ficheiro
    • Reinicia
    • Envia emails
    • Desliga o sistema
    • Termina processos

 Roubos de informação Tenta roubar a seguinte informação:

– As palavras-chave dos seguintes programas:
   • CuteFTP
   • CuteFTP Pro
   • FlashFXP
   • Outlook Express
   • ICQ
   • Trillian
   • MSN Messenger
   • Yahoo!
   • NetMeeting

– É iniciada uma rotina de logging depois de digitadar o seguinte texto:
   • %any key%

– Captura:
    • Teclar
    • Janela de informação

 Tecnologia de Rootkit É uma tecnologia malware-específica. O malware esconde-se de utilitários de sistema, aplicações de segurança e, do utilizador.


Oculta o seguinte:
– As suas próprias chaves de registo


Forma utilizada
    • Esconde-se na API do Windows

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Borland C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com os seguintes empacotadores de runtime
   • Morphine
   • UPX

Descrição enviada por Iulia Diaconescu em quarta-feira, 15 de março de 2006
Descrição atualizada por Iulia Diaconescu em segunda-feira, 20 de março de 2006

Voltar . . . .