Backdoor.Prorat (Backdoor.Prorat.10b3 [Kaspersky])

Троян-бекдор, с компонентом клавиатурного перехватчика. Написан на дельфи, упакован с помощью UPX.

Название трояна: Backdoor.Prorat (Backdoor.Prorat.10b3 [Kaspersky])

Описание: Троян-бекдор, с компонентом клавиатурного перехватчика. Написан на дельфи, упакован с помощью UPX.

1. Троян копирует себя в папку %System% или %Windir% со следующими именами:

 %System%\Main.exe
 %System%\Loader.exe
 %System%\Msmsg.exe
 %System%\Winserv.dll
 %System%\Fservice.exe
 %System%\Sservice.exe
 %Windir%\Winlogon.exe
 
2. Также создает в папке %System% следующие dll и регистрирует их в системе:
 •  %System%\wininv.dll 
 •  %System%\winkey.dll
 
3. Добавляет записи в следующие ключи реестра:
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
 Policies\Explorer\Run
 
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}
 
 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 
добавляя следующие значения:
 "MSNMESENGER"="%System%\Main.exe"
 "DirectX for Microsoft Windows"="%System%\Fservice.exe"
 "DirectX for Microsoft Windows"="%System%\Sservice.exe"
 "StubPath"="C:\Windows\system\Sservice.exe"
 
4. Изменяет значение Shell в следующем ключе реестра:
 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
 
Из "explorer.exe" на "explorer.exe %System%\Fservice.exe"

5. Открывает порт для удаленных команд в интервале от 50000 до 60000.

6. Посылает версию Трояна, IP адрес и порт целевого компьютера к определенному ICQ пользователю через ICQ Web pager.

7. Может внедрять dll файл в Winlogon процесс.