Name:Worm/Agent.W.45
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:89.600 Bytes
MD5 Prüfsumme:13220535a6b7f53cd2bf352c8445fd3a
VDF Version:7.01.01.225
IVDF Version:7.01.01.237 - Freitag, 6. Februar 2009

 General Aliases:
   •  Kaspersky: P2P-Worm.Win32.Palevo.asy
   •  Sophos: Mal/Autorun-E
   •  Bitdefender: Trojan.Downloader.Injecter.B


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine Datei
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • C:\RECYCLER\S-1-5-21-8749679017-0950430147-468708784-3200\hlpsvc.exe



Es wird folgende Datei erstellt:

– C:\RECYCLER\S-1-5-21-8749679017-0950430147-468708784-3200\Desktop.ini Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • [.ShellClassInfo]
     CLSID={645FF040-5081-101B-9F08-00AA002F954E}

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Help and Support"="C:\RECYCLER\S-1-5-21-8749679017-0950430147-468708784-3200\hlpsvc.exe"

 Hintertür Kontaktiert Server:
Alle der folgenden:
   • 0xdeadbeef.cn:37454
   • hitmen.it:37454
   • not.malware.lv:37454

Hierdurch werden Hintertürfunktionen bereitgestellt.

 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • explorer.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Irina Diaconescu am Montag, 2. März 2009
Die Beschreibung wurde geändert von Irina Diaconescu am Montag, 2. März 2009

zurück . . . .