Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusBDS/Prorat.16.47
Data em que surgiu:13/12/2012
Tipo:Servidor Backdoor
Includo na lista "In The Wild"No
Nvel de danos:Baixo
Nvel de distribuio:Baixo
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:1.586.688 Bytes
MD5 checksum:F87808A97ECF77C6E4208C0A9010451D
Verso VDF:7.11.53.216

 Vulgarmente Meio de transmisso:
   • No tem rotinas de propagao


Alias:
   •  Symantec: Backdoor.Prorat
   •  Kaspersky: Backdoor.Win32.Prorat.16
   •  Sophos: Troj/Prorat-P
   •  Eset: Win32/Prorat.16
   •  Bitdefender: Backdoor.Prorat.1.6


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizaes
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe
   • %WINDIR%\services.exe



So criados os seguintes ficheiros:

%SYSDIR%\wininv.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware.
%SYSDIR%\winkey.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware.
%WINDIR%\ktd32.atm

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "DirectX For Microsoft Windows"="%SYSDIR%\fservice.exe"



So adicionadas as seguintes chaves ao registo:

[HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
   • "StubPath"="%SYSDIR%\sservice.exe"

[HKCU\Software\Microsoft DirectX\WinSettings]
   • "Bulas"=%definies do utilizador %
   • "FW_KILL"=%definies do utilizador %
   • "XP_FW_Disable"=%definies do utilizador %
   • "XP_SYS_Recovery"=%definies do utilizador %
   • "ICQ_UIN"=%definies do utilizador %
   • "ICQ_UIN2"=%definies do utilizador %
   • "Kurban_Ismi"=%definies do utilizador %
   • "Mail"=%definies do utilizador %
   • "Online_List"=%definies do utilizador %
   • "Port"=%definies do utilizador %
   • "Sifre"=%definies do utilizador %
   • "Hata"=%definies do utilizador %
   • "Tport"=%definies do utilizador %
   • "ServerVersionInt"=%definies do utilizador %



Altera as seguintes chaves de registo do Windows:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   Valor recente:
   • "Shell"="Explorer.exe %SYSDIR%\fservice.exe"

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • "Start"=%definies do utilizador %
   Valor recente:
   • "Start"=dword:00000004

[HKLM\SYSTEM\ControlSet001\Services\srservice]
   Valor anterior:
   • "Start"=%definies do utilizador %
   Valor recente:
   • "Start"=dword:00000004

 Backdoor So abertas as seguintes portas:

%WINDIR%\services.exe numa porta TCP 5110 Por forma a fornecer capacidades backdoor.
%WINDIR%\services.exe numa porta TCP 5112 Por forma a fornecer um servidor FTP.
%WINDIR%\services.exe numa porta TCP 51100 Por forma a fornecer um servidor FTP.

Envia informao sobre:
     Palavras-chave armazenadas
     Captura do ecr
     Imagens capturas a partir de webcam
     Logfiles criados
     Utilizador Actual
     Endereo IP
     Platform ID
     Informao sobre processos em execuo
     Directrio de sistema
     Nome de utilizador
     Directrio do Windows
     Informao sobre o sistema operativo Windows


Capacidades de controlo remoto:
     Apaga o ficheiro
     Exibe uma mensagem
     Download de ficheiros
     Editar o registo do Windows
     Executa o ficheiro
     Termina processos
     Abre ligaes remotas
     Reinicia
     Envia emails
     Desliga o sistema
     Termina o malware
     Termina processos
     Upload de ficheiros
     Visita um Web site

 Informaes diversas Texto:
Alm disso tem o seguinte texto:
   • [ProRat v1.4 Trojan Horse - Coded by PO Group - Made in Turkey]

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com o seguinte empacotador de runtime:
   • Molebox

Descrição enviada por Dragos Tomescu em quarta-feira, 31 de agosto de 2005
Descrição atualizada por Dragos Tomescu em sexta-feira, 2 de setembro de 2005

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.