需要修復電腦?
聘請專家
病毒:BDS/Prorat.16.47
发现日期:13/12/2012
类型:后门程序服务器
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:低程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:1.586.688 字节
MD5 校检和:F87808A97ECF77C6E4208C0A9010451D
VDF 版本:7.11.53.216

 况概描述 传播方法:
   • 无内置传播例程


别名:
   •  Symantec: Backdoor.Prorat
   •  Kaspersky: Backdoor.Win32.Prorat.16
   •  Sophos: Troj/Prorat-P
   •  Eset: Win32/Prorat.16
   •  Bitdefender: Backdoor.Prorat.1.6


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 植入恶意文件
   • 记录按键
   • 注册表修改
   • 第三方控件

 文件 它将本身复制到以下位置:
   • %WINDIR% 為 Windows 資料夾,通常是 Windows XP, Windows Vista, Windows 7 和Windows 8 上的 C:\Windows,或是 Windows 2000,2003,2008,2012 上的 C:\WINNT。">%SYSDIR%\fservice.exe
   • %WINDIR% 為 Windows 資料夾,通常是 Windows XP, Windows Vista, Windows 7 和Windows 8 上的 C:\Windows,或是 Windows 2000,2003,2008,2012 上的 C:\WINNT。">%SYSDIR%\sservice.exe
   • %WINDIR%\services.exe



创建以下文件:

%WINDIR% 為 Windows 資料夾,通常是 Windows XP, Windows Vista, Windows 7 和Windows 8 上的 C:\Windows,或是 Windows 2000,2003,2008,2012 上的 C:\WINNT。">%SYSDIR%\wininv.dll 进一步的调查表明,此文件是恶意软件。
%WINDIR% 為 Windows 資料夾,通常是 Windows XP, Windows Vista, Windows 7 和Windows 8 上的 C:\Windows,或是 Windows 2000,2003,2008,2012 上的 C:\WINNT。">%SYSDIR%\winkey.dll 进一步的调查表明,此文件是恶意软件。
%WINDIR%\ktd32.atm

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "DirectX For Microsoft® Windows"="%WINDIR% 為 Windows 資料夾,通常是 Windows XP, Windows Vista, Windows 7 和Windows 8 上的 C:\Windows,或是 Windows 2000,2003,2008,2012 上的 C:\WINNT。">%SYSDIR%\fservice.exe"



会添加以下注册表项目注册值:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
   • "StubPath"="%WINDIR% 為 Windows 資料夾,通常是 Windows XP, Windows Vista, Windows 7 和Windows 8 上的 C:\Windows,或是 Windows 2000,2003,2008,2012 上的 C:\WINNT。">%SYSDIR%\sservice.exe"

– [HKCU\Software\Microsoft DirectX\WinSettings]
   • "Bulas"=%用户定义的设置%
   • "FW_KILL"=%用户定义的设置%
   • "XP_FW_Disable"=%用户定义的设置%
   • "XP_SYS_Recovery"=%用户定义的设置%
   • "ICQ_UIN"=%用户定义的设置%
   • "ICQ_UIN2"=%用户定义的设置%
   • "Kurban_Ismi"=%用户定义的设置%
   • "Mail"=%用户定义的设置%
   • "Online_List"=%用户定义的设置%
   • "Port"=%用户定义的设置%
   • "Sifre"=%用户定义的设置%
   • "Hata"=%用户定义的设置%
   • "Tport"=%用户定义的设置%
   • "ServerVersionInt"=%用户定义的设置%



会更改以下注册表项:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   旧值:
   • "Shell"="Explorer.exe"
   新值:
   • "Shell"="Explorer.exe %WINDIR% 為 Windows 資料夾,通常是 Windows XP, Windows Vista, Windows 7 和Windows 8 上的 C:\Windows,或是 Windows 2000,2003,2008,2012 上的 C:\WINNT。">%SYSDIR%\fservice.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   旧值:
   • "Start"=%用户定义的设置%
   新值:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\ControlSet001\Services\srservice]
   旧值:
   • "Start"=%用户定义的设置%
   新值:
   • "Start"=dword:00000004

 后门程序 会打开以下端口:

%WINDIR%\services.exe 在 TCP 端口上 5110 以便提供后门功能。
%WINDIR%\services.exe 在 TCP 端口上 5112 以便提供 FTP 服务器。
%WINDIR%\services.exe 在 TCP 端口上 51100 以便提供 FTP 服务器。

发送有关以下内容的信息:
    • 缓存密码
    • 截取屏幕图像
    • 从网络摄像机截取快照
    • 创建的日志文件
    • 当前用户
    • IP 地址
    • 平台 ID
    • 运行中进程的信息
    • 系统目录
    • 用户名
    • 视窗目录
    • Windows 操作系统信息


远程控制功能:
    • 删除文件
    • 显示信息
    • 下载文件
    • 编辑注册表
    • 执行文件
    • 结束进程
    • 打开远程 Shell
    • 重新引导系统
    • 发送电子邮件
    • 关闭系统
    • 终止恶意软件
    • 终止进程
    • 上传文件
    • 访问网站

 其他 字符串:
此外,它还包含以下字符串:
   • [ProRat v1.4 Trojan Horse - Coded by P®O Group - Made in Turkey]

 文件详细信息 运行时压缩程序:
为了提高检测难度以及减小文件,它已使用以下运行时压缩程序进行压缩:
   • Molebox

說明撰寫者 Dragos Tomescu 開啟 2005年8月31日星期三
說明更新者 Dragos Tomescu 開啟 2005年9月2日星期五

返回 . . . .
https:// 為了你的安全,此視窗已加密。