Backdoor/Prorat.16

Backdoor/Prorat.16

病毒长度：可变

病毒类型：木马

危害等级：*

影响平台：Win9X/2000/XP/NT/Me

Backdoor/Prorat.16是一个用Delphi程序编写并用UPX压缩过的木马，它可以使攻击者完全控制你的计算机。

传播过程及特征；

1.在系统目录下复制自身，文件名是变化的，可能是：

Main.exe

Loader.exe

Msmsg.exe

Winserv.dll

Fservice.exe

Sservice.exe

2.修改注册表：

在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加"MSNMESENGER"="%System%Main.exe"键值

在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun下添加"DirectX for Microsoft Windows"="%System%Sservice.exe"键值

在HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun下添加"StubPath"="C:WindowssystemSservice.exe"键值

添加HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{5Y99AE78-58TT-11dW-BE53-Y67078979Y}子键

3.在50000-60000范围内选择一端口打开进行监听，此木马常选择端口58343。

4.通过ICQ发送木马和目标计算机的IP地址和端口号到指定的ICQ用户。

5.可能会将一个.dll文件嵌入到Winlogon程序作为一个线程，达到杀死一些安全软件进程的目的。