středa 9. května 2012

Backdoor:Win32/Prorat


Shrnutí

Backdoor:Win32/Proratje trojan, který se otevře náhodné porty, které umožňují dálkový přístup od útočníka do postiženého počítače. Tento backdoor může stáhnout a spustit další malware z předdefinovaných webových stránek a ukončit několik bezpečnostních aplikací nebo služeb.


 

Příznaky

Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
  • Přítomnost některého z následujících souborů:
    systémové složky > \ fservice.exe
    System > \ sservice.exe
    System > \ wservice.exe
  • System > \ lservice.exe
    System > \ ffservice.exe
    System > \ dservice.exe
    System > \ d_service.exe
    % windir% \ services.exe
  • Přítomnost těchto úprav registru:
    Přidaná hodnota: "StubPath"
  • S údaji: "< systémové složky > \ lservice.exe "
    Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Active Setup \ Installed Components \
    {A75aed00-d7bf-11D1-9947-00c0Cf98bbc9} přidané hodnoty: "Windows Reg služby"

    S údaji: "< systémové složky > \ < Win32/Prorat název souboru > "
    Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run Přidaná hodnota: "Windows Reg služby"

    S údaji: "< systémové složky > \ < Win32/Prorat název souboru > "
    Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run Přidaná hodnota: "Windows Reg služby"

    S údaji: "< systémové složky > \ < Win32/Prorat název souboru > "
    Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run


 

Technické informace (analýza)

Backdoor:Win32/Proratje trojan, který se otevře náhodné porty, které umožňují dálkový přístup od útočníka do postiženého počítače. Tento backdoor může stáhnout a spustit další malware z předdefinovaných webových stránek a ukončit několik bezpečnostních aplikací nebo služeb.
Instalace
Tento backdoor trojan může být nainstalován jiným malwarem. Při spuštění, tento malware klesne soubory na lokálním počítači jako v následujících příkladech:
 
System > \ wservice.exe
System > \ lservice.exe
System > \ ffservice.exe
System > \ dservice.exe nebo < systémové složky > \ d_service.exe
 
Registr je upraven tak, aby spuštění Win32/Prorat při každém spuštění systému Windows.
 
Přidanou hodnotu: "StubPath"
S údaji: "< systémové složky > \ lservice.exe "
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Active Setup \ Installed Components \
{A75aed00-d7bf-11D1-9947-00c0Cf98bbc9} \

Přidanou hodnotu: "Windows Reg služby"
S údaji: "< systémové složky > \ ffservice.exe "
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run
 
Přidanou hodnotu: "Windows Reg služby"
S údaji: "< systémové složky > \ ffservice.exe "
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
 
Přidanou hodnotu: "Windows Reg služby"
S údaji: "< systémové složky > \ ffservice.exe "
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
 
Užitečná
Umožňuje vzdálený přístup
Tento trojský kůň může otevřít náhodné porty TCP jako TCP porty 5110, 5112, 51100 a 4110, 4112 a tak dále. Trojan může komunikovat se vzdáleným serverem poslat informace o připojení, jako porty, které jsou v provozu v příslušném počítači. Vzdálený útočník může připojit k počítači a odeslat postiženého příkazu pokyny, které by mohly zahrnovat následující:
 
  • přehrávat zvukové zvuky
  • změnit vlastnosti tiskárny
  • stáhnout a spustit libovolný program nebo škodlivý software
 
Ukončí bezpečnostní aplikace nebo služby
Ve volné přírodě se tento trojský kůň byl pozorován ukončit následující bezpečnostní související procesy:
 
avpcc.exe
avpcc.exe
_avpm.exe
avp32.exe
avp.exe
fsav.exe
PERSFW.EXE
ZONEALARM.EXE
SCAN32.exe
NAVW32.exe
AVGW.EXE
NOD32.EXE
DRWEB32.EXE
 
Další informace
Příjmení "prorat" je kombinací slov "pro" a "krys", kde "krysa" je termín odkazuje se na "vzdáleného přístupu trojan".

Žádné komentáře:

Okomentovat