Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusBDS/Prorat.16.47
Data em que surgiu:13/12/2012
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:1.586.688 Bytes
MD5 checksum:F87808A97ECF77C6E4208C0A9010451D
Versão VDF:7.11.53.216

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: Backdoor.Prorat
   •  Kaspersky: Backdoor.Win32.Prorat.16
   •  Sophos: Troj/Prorat-P
   •  Eset: Win32/Prorat.16
   •  Bitdefender: Backdoor.Prorat.1.6


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe
   • %WINDIR%\services.exe



São criados os seguintes ficheiros:

%SYSDIR%\wininv.dll Outras investigações apontam para que este ficheiro, também, seja malware.
%SYSDIR%\winkey.dll Outras investigações apontam para que este ficheiro, também, seja malware.
%WINDIR%\ktd32.atm

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "DirectX For Microsoft® Windows"="%SYSDIR%\fservice.exe"



São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
   • "StubPath"="%SYSDIR%\sservice.exe"

– [HKCU\Software\Microsoft DirectX\WinSettings]
   • "Bulas"=%definições do utilizador %
   • "FW_KILL"=%definições do utilizador %
   • "XP_FW_Disable"=%definições do utilizador %
   • "XP_SYS_Recovery"=%definições do utilizador %
   • "ICQ_UIN"=%definições do utilizador %
   • "ICQ_UIN2"=%definições do utilizador %
   • "Kurban_Ismi"=%definições do utilizador %
   • "Mail"=%definições do utilizador %
   • "Online_List"=%definições do utilizador %
   • "Port"=%definições do utilizador %
   • "Sifre"=%definições do utilizador %
   • "Hata"=%definições do utilizador %
   • "Tport"=%definições do utilizador %
   • "ServerVersionInt"=%definições do utilizador %



Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   Valor recente:
   • "Shell"="Explorer.exe %SYSDIR%\fservice.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • "Start"=%definições do utilizador %
   Valor recente:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\ControlSet001\Services\srservice]
   Valor anterior:
   • "Start"=%definições do utilizador %
   Valor recente:
   • "Start"=dword:00000004

 Backdoor São abertas as seguintes portas:

%WINDIR%\services.exe numa porta TCP 5110 Por forma a fornecer capacidades backdoor.
%WINDIR%\services.exe numa porta TCP 5112 Por forma a fornecer um servidor FTP.
%WINDIR%\services.exe numa porta TCP 51100 Por forma a fornecer um servidor FTP.

Envia informação sobre:
    • Palavras-chave armazenadas
    • Captura do ecrã
    • Imagens capturas a partir de webcam
    • Logfiles criados
    • Utilizador Actual
    • Endereço IP
    • Platform ID
    • Informação sobre processos em execução
    • Directório de sistema
    • Nome de utilizador
    • Directório do Windows
    • Informação sobre o sistema operativo Windows


Capacidades de controlo remoto:
    • Apaga o ficheiro
    • Exibe uma mensagem
    • Download de ficheiros
    • Editar o registo do Windows
    • Executa o ficheiro
    • Termina processos
    • Abre ligações remotas
    • Reinicia
    • Envia emails
    • Desliga o sistema
    • Termina o malware
    • Termina processos
    • Upload de ficheiros
    • Visita um Web site

 Informações diversas Texto:
Além disso tem o seguinte texto:
   • [ProRat v1.4 Trojan Horse - Coded by P®O Group - Made in Turkey]

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • Molebox

Descrição enviada por Dragos Tomescu em quarta-feira, 31 de agosto de 2005
Descrição atualizada por Dragos Tomescu em sexta-feira, 2 de setembro de 2005

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.