Backdoor.Prorat (Backdoor.Prorat.10b3 [Kaspersky])

Название трояна: Backdoor.Prorat (Backdoor.Prorat.10b3 [Kaspersky])

Описание: Троян-бекдор, с компонентом клавиатурного перехватчика. Написан на дельфи, упакован с помощью UPX.

1. Троян копирует себя в папку %System% или %Windir% со следующими именами:

  %System%\Main.exe
  %System%\Loader.exe
  %System%\Msmsg.exe
  %System%\Winserv.dll
  %System%\Fservice.exe
  %System%\Sservice.exe
  %Windir%\Winlogon.exe
  

2. Также создает в папке %System% следующие dll и регистрирует их в системе:

  •  %System%\wininv.dll 
  •  %System%\winkey.dll
  

3. Добавляет записи в следующие ключи реестра:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
  Policies\Explorer\Run
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}
  
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  

добавляя следующие значения:

  "MSNMESENGER"="%System%\Main.exe"
  "DirectX for Microsoft Windows"="%System%\Fservice.exe"
  "DirectX for Microsoft Windows"="%System%\Sservice.exe"
  "StubPath"="C:\Windows\system\Sservice.exe"
  

4. Изменяет значение Shell в следующем ключе реестра:

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
  

Из "explorer.exe" на "explorer.exe %System%\Fservice.exe"

5. Открывает порт для удаленных команд в интервале от 50000 до 60000.

6. Посылает версию Трояна, IP адрес и порт целевого компьютера к определенному ICQ пользователю через ICQ Web pager.

7. Может внедрять dll файл в Winlogon процесс.