Shrnutí
Backdoor:Win32/Proratje trojan, který se otevře náhodné porty, které umožňují dálkový přístup od útočníka do postiženého počítače. Tento backdoor může stáhnout a spustit další malware z předdefinovaných webových stránek a ukončit několik bezpečnostních aplikací nebo služeb.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost některého z následujících souborů:
< systémové složky > \ fservice.exe
< System > \ sservice.exe
< System > \ wservice.exe - Přítomnost těchto úprav registru:
Přidaná hodnota: "StubPath"
< System > \ lservice.exe
< System > \ ffservice.exe
< System > \ dservice.exe
< System > \ d_service.exe
% windir% \ services.exe
< System > \ d_service.exe
% windir% \ services.exe
S údaji: "< systémové složky > \ lservice.exe "
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Active Setup \ Installed Components \
{A75aed00-d7bf-11D1-9947-00c0Cf98bbc9} přidané hodnoty: "Windows Reg služby"
{A75aed00-d7bf-11D1-9947-00c0Cf98bbc9} přidané hodnoty: "Windows Reg služby"
S údaji: "< systémové složky > \ < Win32/Prorat název souboru > "
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run Přidaná hodnota: "Windows Reg služby"
S údaji: "< systémové složky > \ < Win32/Prorat název souboru > "
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run Přidaná hodnota: "Windows Reg služby"
S údaji: "< systémové složky > \ < Win32/Prorat název souboru > "
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Technické informace (analýza)
Backdoor:Win32/Proratje trojan, který se otevře náhodné porty, které umožňují dálkový přístup od útočníka do postiženého počítače. Tento backdoor může stáhnout a spustit další malware z předdefinovaných webových stránek a ukončit několik bezpečnostních aplikací nebo služeb.
Instalace
Tento backdoor trojan může být nainstalován jiným malwarem. Při spuštění, tento malware klesne soubory na lokálním počítači jako v následujících příkladech:
< System > \ wservice.exe
< System > \ lservice.exe
< System > \ ffservice.exe
< System > \ dservice.exe nebo < systémové složky > \ d_service.exe
Registr je upraven tak, aby spuštění Win32/Prorat při každém spuštění systému Windows.
Přidanou hodnotu: "StubPath"
S údaji: "< systémové složky > \ lservice.exe "
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Active Setup \ Installed Components \
{A75aed00-d7bf-11D1-9947-00c0Cf98bbc9} \
{A75aed00-d7bf-11D1-9947-00c0Cf98bbc9} \
Přidanou hodnotu: "Windows Reg služby"
S údaji: "< systémové složky > \ ffservice.exe "
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run
Přidanou hodnotu: "Windows Reg služby"
S údaji: "< systémové složky > \ ffservice.exe "
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Přidanou hodnotu: "Windows Reg služby"
S údaji: "< systémové složky > \ ffservice.exe "
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Užitečná
Umožňuje vzdálený přístup
Tento trojský kůň může otevřít náhodné porty TCP jako TCP porty 5110, 5112, 51100 a 4110, 4112 a tak dále. Trojan může komunikovat se vzdáleným serverem poslat informace o připojení, jako porty, které jsou v provozu v příslušném počítači. Vzdálený útočník může připojit k počítači a odeslat postiženého příkazu pokyny, které by mohly zahrnovat následující:
- přehrávat zvukové zvuky
- změnit vlastnosti tiskárny
- stáhnout a spustit libovolný program nebo škodlivý software
Ukončí bezpečnostní aplikace nebo služby
Ve volné přírodě se tento trojský kůň byl pozorován ukončit následující bezpečnostní související procesy:
avpcc.exe
avpcc.exe
_avpm.exe
avp32.exe
avp.exe
fsav.exe
PERSFW.EXE
ZONEALARM.EXE
SCAN32.exe
NAVW32.exe
AVGW.EXE
NOD32.EXE
DRWEB32.EXE
avpcc.exe
_avpm.exe
avp32.exe
avp.exe
fsav.exe
PERSFW.EXE
ZONEALARM.EXE
SCAN32.exe
NAVW32.exe
AVGW.EXE
NOD32.EXE
DRWEB32.EXE
Další informace
Příjmení "prorat" je kombinací slov "pro" a "krys", kde "krysa" je termín odkazuje se na "vzdáleného přístupu trojan".
Žádné komentáře:
Okomentovat