Home > Pengumuman > Prorat.F: Backdoor Dibalik Foto

Prorat.F: Backdoor Dibalik Foto

Prorat.F Backdoor Dibalik Foto

Di-packed menggunakan FSG, trojan ini akan menampilkan foto jika dibuka sehingga berusaha tidak mencurigakan pengguna yang membuka file ini dan membuat beberapa file pada sistem yang terinfeksi.

C:\WINDOWS\services.exe
C:\WINDOWS\system\sservice.exe
C:\WINDOWS\system32\fservice.exe
C:\WINDOWS\system32\lncom.exe
C:\WINDOWS\system32\lncom_.jpg
C:\WINDOWS\system32\reginv.dll
C:\WINDOWS\system32\winkey.dll

Untuk aktif di setiap startup, trojan ini membuat startup di lokasi berikut:

HKEY_LOCAL_MACHINE\software\microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}\StubPath
C:\WINDOWS\system\sservice.exe

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\policies\Explorer\Run\DirectX For Microsoft® Windows
C:\WINDOWS\system32\fservice.exe

HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Explorer.exe C:\WINDOWS\system32\fservice.exe

Ada beberapa registry yang dimodifikasi oleh Prorat.F:

HKEY_CURRENT_USER\software\Microsoft\Windows NT Script Host\Microsoft DxDiag\WinSettings\Hata
Sorry! You have not Mac System. its a protected file and deleted automatically.Kindly open this file on Mac OS.XP_FW_Disable

Trojan ini membuka port 5110, 5112 dan 51100 sebagai jembatan untuk fungsionalitas sebagai backdoor.

DNS yang coba dikontak trojan ini yaitu 69.43.160.216

PCMAV 9.9.9 dengan Update Build 9 sudah dapat mengenali Prorat.F dan virus terbaru lainnya yang beredar di Indonesia.

Categories: Pengumuman Tags:
  1. ruli
    December 15th, 2014 at 16:43 | #1

    saking canggihnya ini antivirus sampai-sampai foto dibilang virus 😀

  2. bekdor
    December 18th, 2014 at 11:10 | #2

    @ruli : file gambarnya cuma companionnya aja om, biar kalau di klik file exe nya yg muncul gambar/foto itu, ya lumayanlah buat ngelabui user awam kayak ente..wekekeke