Имя:BDS/Prorat.M.B.38
Обнаружен:15/03/2006
Вид:Backdoor сервер
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:357.932 байт.
Контрольная сумма MD5:d1dabb99aaeacf1ae918f2e3f2abc2e9
Версия VDF:6.33.00.119

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: Backdoor.Prorat
   •  Mcafee: BackDoor-AVW
   •  Kaspersky: Backdoor.Win32.Prorat.19.al
   •  TrendMicro: BKDR_PRORAT.19
   •  VirusBuster: Backdoor.Prorat.AE
   •  Bitdefender: Backdoor.Prorat.1.9


Операционные системы:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отключение приложений безопасности
   • Создает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создаются собственные копии:
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe
   • %WINDIR%\services.exe



Выполненная копия программы удаляется.



Удаляются следующие файлы:
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe



Создаются следующие файлы:

%SYSDIR%\winkey.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: BDS/Prorat.19.H

%SYSDIR%\reginv.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Drop.Agent.co.2

%WINDIR%\ktd32.atm Файл содержит строки введенных с клавиатуры символов
%Рабочая папка вредоносной программы%\%выполненный файл%.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.

 Реестр Добавляется ключ реестра (бесконечный цикл) для повторного запуска процесса после перезагрузки системы.

–  [HKLM\software\microsoft\windows\currentversion\policies\explorer\
   Run]
   • "DirectX For Microsoft® Windows"="%SYSDIR%\fservice.exe"



Добавляются следующие ключи реестра:

– [HKCU\software\microsoft\Windows NT Script Host\Microsoft DxDiag\
   WinSettings]
   • "Bulas"="1"
   • "FW_KILL"="1"
   • "XP_FW_Disable="1"
   • "XP_SYS_Recovery"="1"
   • "ICQ_UIN"="qvro/on,hq/hogn"
   • "ICQ_UIN2"=""
   • "Kurban_Ismi"="whbuhl"
   • "Mail"=""
   • "Online_List"=""
   • "Port"="4001"
   • "Sifre"="ehbd547"
   • "Hata"=""
   • "KSil"="1"
   • "LanNotifie"=""
   • "Tport"="0"
   • "ServerVersionInt"="19"

– [HKLM\software\microsoft\Active Setup\Installed Components\
   {5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
   • "StubPath"="%SYSDIR%\sservice.exe"



Изменяются следующие ключи реестра:

– [HKLM\software\microsoft\Windows NT\CurrentVersion\Winlogon]
   Прежнее значение:
   • "Shell"="Explorer.exe"
   Новое значение:
   • "Shell"="Explorer.exe %SYSDIR%\fservice.exe"

 Завершение процесса Список завершаемых процессов:
   • _AVP32.EXE; _AVP32.EXE; _AVPCC.EXE; _AVPM.EXE; _SMC.EXE; ACKWIN32.EXE;
      ADMINTOOL.EXE; ADVXDWIN.EXE; AGENTA.EXE; AGENTSVR.EXE; ALERTSVC.EXE;
      ALG.EXE; ALOGSERV.EXE; AMON.EXE; AMON9X.EXE; ANTITROJ.EXE;
      ANTI-TROJAN.EXE; ANTIVIRUS.EXE; ANTS.EXE; APIMONITOR.EXE;
      APLICA32.EXE; APVXDWIN.EXE; ASHDISP.EXE; ASHQUICK.EXE; ATCON.EXE;
      ATGUARD.EXE; ATRO55EN.EXE; ATUPDATER.EXE; ATWATCH.EXE; ATWATCH.EXE;
      AUTOTRACE.EXE; AVCONSOL.EXE; AVCONSOL.EXE; AVENGINE.EXE; AVENGINE.EXE;
      AVGCC32.EXE; AVGCTRL.EXE; AVGNT.EXE; AVGSERV.EXE; AVGSERV9.EXE;
      AVGUARD.EXE; AVGW.EXE; AVKPOP.EXE; AVKSERV.EXE; AVKSERVICE.EXE;
      AVKWCTL.EXE; AVKWCTL9.EXE; AVP.EXE; AVP32.EXE; AVPCC.EXE; AVPCC.EXE;
      AVPM.EXE; AVSCHED32.EXE; AVSYNMGR.EXE; AVSYNMGR.EXE; AVWIN.EXE;
      AVWINNT.EXE; AVXGUI.EXE; AVXLIVE.EXE; AVXMONITOR9X.EXE;
      AVXMONITORNT.EXE; AVXQUAR.EXE; AVXW.EXE; BD_PROFESSIONAL.EXE;
      BIDEF.EXE; BIDSERVER.EXE; BIPCP.EXE; BISP.EXE; BLACKD.EXE;
      BLACKICE.EXE; BOOTSCAN.EXE; BOOTWARN.EXE; BORG2.EXE; BS120.EXE;
      CDP.EXE; CFGINTPR.EXE; CFGWIZ.EXE; CFIADMIN.EXE; CFIAUDIT.EXE;
      CFINET.EXE; CFINET32.EXE; CLAW95.EXE; CLAW95CF.EXE; CLEAN.EXE;
      CLEANER.EXE; CLEANER3.EXE; CLEANPC.EXE; CMGRDIAN.EXE; CMON016.EXE;
      CONNECTIONMONITOR.EXE; CPF9X206.EXE; CPFNT206.EXE; CTRL.EXE; CV.EXE;
      CWNB181.EXE; CWNTDWMO.EXE; DEFSCANGUI.EXE; DEFWATCH.EXE; DEPUTY.EXE;
      DOORS.EXE; DPATROL.EXE; DPF.EXE; DRWEB32.EXE; DRWEBSCD.EXE; DVP95.EXE;
      DVP95_0.EXE; ECENGINE.EXE; EFPEADM.EXE; ENT.EXE; ESAFE.EXE;
      ESCANH95.EXE; ESCANHNT.EXE; ESCANV95.EXE; ESPWATCH.EXE;
      ETRUSTCIPE.EXE; EVPN.EXE; EXANTIVIRUS-CNET.EXE; EXPERT.EXE;
      F-AGNT95.EXE; FAMEH32.EXE; FAST.EXE; FCH32.EXE; FIH32.EXE;
      FINDVIRU.EXE; FIREWALL.EXE; FLOWPROTECTOR.EXE; FNRB32.EXE; F-PROT.EXE;
      F-PROT95.EXE; FP-WIN.EXE; FRW.EXE; FSA.EXE; FSAA.EXE; FSAV.EXE;
      FSAV32.EXE; FSAV530STBYB.EXE; FSAVSTRT.EXE; FSM32.EXE; FSMA32.EXE;
      FSMB32.EXE; F-STOPW.EXE; GBMENU.EXE; GBPOLL.EXE; GENERICS.EXE;
      GLADIATOR.EXE; GUARD.EXE; GUARDDOG.EXE; GUARDER.EXE;
      HACKERELIMINATOR.EXE; HACKTRACERSETUP.EXE; HTLOG.EXE; HWPE.EXE;
      IAMAPP.EXE; IAMSERV.EXE; IAMSTATS.EXE; IBMASN.EXE; IBMAVSP.EXE;
      ICLOAD95.EXE; ICLOADNT.EXE; ICMON.EXE; ICSUPP95.EXE; ICSUPPNT.EXE;
      IFACE.EXE; IFW2000.EXE; IOMON98.EXE; IPARMOR.EXE; IRIS.EXE;
      ISRV95.EXE; JAMMER.EXE; JEDI.EXE; KAVLITE40ENG.EXE; KAVPERS40ENG.EXE;
      LDNETMON.EXE; LDPRO.EXE; LDPROMENU.EXE; LDSCAN.EXE; LOCKDOWN.EXE;
      LOCKDOWN2000.EXE; LOGMON.EXE; LOOKOUT.EXE; LUALL.EXE; LUAU.EXE;
      MCAGENT.EXE; MCMNHDLR.EXE; MCSHIELD.EXE; MCTOOL.EXE; MCVSRTE.EXE;
      MCVSSHLD.EXE; MFW2EN.EXE; MGAVRTCL.EXE; MGAVRTE.EXE; MGHTML.EXE;
      MGUI.EXE; MINILOG.EXE; MONITOR.EXE; MPFAGENT.EXE; MPFSERVICE.EXE;
      MPFTRAY.EXE; MPFTRAY.EXE; MSSMMC32.EXE; MU0311AD.EXE; MWATCH.EXE;
      N32SCANW.EXE; NAVAPW32.EXE; NAVDX.EXE; NAVLU32.EXE; NAVSTUB.EXE;
      NAVW32.EXE; NAVWNT.EXE; NC2000.EXE; NEOWATCHLOG.EXE; NEOWATCHTRAY.EXE;
      NETARMOR.EXE; NETINFO.EXE; NETMON.EXE; NETSCANPRO.EXE;
      NETSPYHUNTER-1.2.EXE; NETUTILS.EXE; NIP.EXE; NISSERV.EXE; NISUM.EXE;
      NOD32.EXE; NORMIST.EXE; NPF40_TW_98_NT_ME_2K.EXE; NPFMESSENGER.EXE;
      NPSSVC.EXE; NSCHED32.EXE; NTRTSCAN.EXE; NTVDM.EXE; NTXCONFIG.EXE;
      NUI.EXE; NVARCH16.EXE; NVC95.EXE; NWSERVICE.EXE; NWTOOL16.EXE;
      NYMSE.EXE; OSTRONET.EXE; OUTPOST.EXE; PADMIN.EXE; PANIXK.EXE;
      PAVCL.EXE; PAVFIRES.EXE; PAVPROXY.EXE; PAVPRSRV.EXE; PAVSRV51.EXE;
      PAVW.EXE; PCC2002S902.EXE; PCC2K_76_1436.EXE; PCCCLIENT.EXE;
      PCCGUIDE.EXE; PCCIOMON.EXE; PCCNTMON.EXE; PCCPFW.EXE; PCCWIN97.EXE;
      PCCWIN98.EXE; PCFWALLICON.EXE; PCSCAN.EXE; PERISCOPE.EXE; PERSFW.EXE;
      PF2.EXE; PFWADMIN.EXE; PINGSCAN.EXE; PLATIN.EXE; POP3TRAP.EXE;
      POPROXY.EXE; PORTDETECTIVE.EXE; PORTMONITOR.EXE; PPTBC.EXE;
      PPVSTOP.EXE; PROCMAN.EXE; PROGRAMAUDITOR.EXE; PROPORT.EXE;
      PROTECTX.EXE; PSPF.EXE; PURGE.EXE; PVIEW95.EXE; QCONSOLE.EXE;
      QSERVER.EXE; RAPAPP.EXE; RAV7.EXE; RAV7WIN.EXE; RAV8WIN32ENG.EXE;
      RAVMON.EXE; RAVWIN8.EXE; REALMON.EXE; REGSHOT.EXE; RMVTRJAN.EXE;
      RRGUARD.EXE; RSHELL.EXE; RTVSCN95.EXE; RULAUNCH.EXE; SAFEWEB.EXE;
      SBSERV.EXE; SCAN.EXE; SCAN32.EXE; SCANPM.EXE; SCRSCAN.EXE; SD.EXE;
      SFC.EXE; SGSSFW32.EXE; SH.EXE; SHN.EXE; SMC.EXE; SOFI.EXE; SPF.EXE;
      SPFW.EXE; SPHINX.EXE; SPYXX.EXE; SS3EDIT.EXE; ST.EXE; ST2.EXE;
      SUPFTRL.EXE; SUPPORTER5.EXE; SWEEP95.EXE; SWNETSUP.EXE;
      SYMPROXYSVC.EXE; TASKALERT.EXE; TAUMON.EXE; TAUSCAN.EXE; TBSCAN.EXE;
      TC.EXE; TCA.EXE; TCM.EXE; TDS2-98.EXE; TDS2-NT.EXE; TDS-3.EXE;
      TFAK.EXE; TFAK5.EXE; TGBOB.EXE; THGUARD.EXE; TITANIN.EXE;
      TITANINXP.EXE; TRJSCAN.EXE; TROJAN.EXE; TROJANHUNTER.EXE;
      TROJANTRAP3.EXE; TUCONF.EXE; UMXAGENT.EXE; UMXLDRA.EXE; V530WTBYB.EXE;
      V95.EXE; VBCONS.EXE; VBUST.EXE; VBWIN9X.EXE; VBWINNTW.EXE; VET32.EXE;
      VET95.EXE; VETTRAY.EXE; VIR-HELP.EXE; VNLAN300.EXE; VNPC3000.EXE;
      VPC32.EXE; VPC42.EXE; VPFW30S.EXE; VPTRAY.EXE; VPTRAY.EXE;
      VSCAN40.EXE; VSCHED.EXE; VSECOM.EXE; VSHWIN32.EXE; VSHWIN32.EXE;
      VSMAIN.EXE; VSMAIN.EXE; VSMON.EXE; VSSTAT.EXE; VSSTAT.EXE;
      WATCHDOG.EXE; WATCHER.EXE; WEBSCANX.EXE; WEBTRAP.EXE; WFINDV32.EXE;
      WGFE95.EXE; WIMMUN32.EXE; WINGATE.EXE; WINRECON.EXE; WINROUTE.EXE;
      WNT.EXE; WRADMIN.EXE; WRCTRL.EXE; WSBGATE.EXE; XCOMMSVR.EXE;
      XPF202EN.EXE; ZAPRO.EXE; ZATUTOR.EXE; ZONALM2601.EXE; ZONEALARM.EXE


Список завершаемых служб:
   • System Restore
   • Internet Connection Firewall (Windows Firewall)/Internet Connection Sharing
   • Norton AntiVirus Auto-Protect Service

 Backdoor Открываются следующие порты:

%WINDIR%\services.exe по TCP порту 5110 для обеспечения backdoor функции.
%WINDIR%\services.exe по TCP порту 5112 для обеспечения FTP сервера.
%WINDIR%\services.exe по TCP порту 51100 для обеспечения FTP сервера.


Устанавливает соединение с сервером
Все последующие:
   • pwsn.no-ip.info:41100
   • pwsn.no-ip.info:4112
   • pwsn.no-ip.info:4110

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Соединение периодически регулярно повторяется.

Передает информацию о:
    • Имя компьютера
    • Скорость процессора
    • Тип процессора
    • IP адрес
    • Текущий malware статус.
    • Информация о сети
    • Открытый порт
    • Информация о запущенных процессах
    • Системное время
    • Имя пользователя
    • Локальная активность пользователя
    • посещенные URL
    • Информация об операционной системе Windows


Возможности удаленного контроля:
    • Перечень файлов директории
    • Загрузить файл
    • Редактировать реестр
    • Запустить файл
    • Перезапустить систему
    • Отправить электронную почту
    • Завершить работу системы
    • Остановить процесс

 Кража Попытка кражи следующей информации:

– Пароли следующих программ:
   • CuteFTP
   • CuteFTP Pro
   • FlashFXP
   • Outlook Express
   • ICQ
   • Trillian
   • MSN Messenger
   • Yahoo!
   • NetMeeting

– После набора на клавиатуре следующей последовательности символов запускается функция протоколирования.
   • %any key%

– Протоколируется:
    • Нажатие клавиш
    • Информация об окне

 Технология Rootkit Эта технология описывает определенный вид потенциально опасных программ. ПО скрывает свое присутствие от системных программ, программ обеспечения безопасности и от самого пользователя.


Скрывает следующее:
– Собственные ключи реестра


Используемый метод:
    • Невидимый из Windows API

 Данные файла Язык программирования:
 Программа была написана на Borland C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующими паковщиками:
   • Morphine
   • UPX

Описание добавил Iulia Diaconescu в(о) среда, 15 марта 2006 г.
Описание обновил Iulia Diaconescu в(о) понедельник, 20 марта 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.