Backdoor.Prorat (Backdoor.Prorat.10b3 [Kaspersky])

Троян-бекдор, с компонентом клавиатурного перехватчика. Написан на дельфи, упакован с помощью UPX.

Название трояна: Backdoor.Prorat (Backdoor.Prorat.10b3 [Kaspersky])

Описание: Троян-бекдор, с компонентом клавиатурного перехватчика. Написан на дельфи, упакован с помощью UPX.

1. Троян копирует себя в папку %System% или %Windir% со следующими именами:

%System%\Main.exe
%System%\Loader.exe
%System%\Msmsg.exe
%System%\Winserv.dll
%System%\Fservice.exe
%System%\Sservice.exe
%Windir%\Winlogon.exe
2. Также создает в папке %System% следующие dll и регистрирует их в системе:
•  %System%\wininv.dll 
•  %System%\winkey.dll
3. Добавляет записи в следующие ключи реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies\Explorer\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
добавляя следующие значения:
"MSNMESENGER"="%System%\Main.exe"
"DirectX for Microsoft Windows"="%System%\Fservice.exe"
"DirectX for Microsoft Windows"="%System%\Sservice.exe"
"StubPath"="C:\Windows\system\Sservice.exe"
4. Изменяет значение Shell в следующем ключе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Из "explorer.exe" на "explorer.exe %System%\Fservice.exe"

5. Открывает порт для удаленных команд в интервале от 50000 до 60000.

6. Посылает версию Трояна, IP адрес и порт целевого компьютера к определенному ICQ пользователю через ICQ Web pager.

7. Может внедрять dll файл в Winlogon процесс.