Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Palevo.nli
Entdeckt am:04/01/2010
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:163.328 Bytes
MD5 Prüfsumme:a57e5a050d0d25deb048bc8aa2c608ba
IVDF Version:7.10.02.113 - Montag, 4. Januar 2010

 General Verbreitungsmethode:
   • Autorun Dateien


Aliases:
   •  Mcafee: W32/IRCbot.gen.aj
   •  Sophos: W32/Ircbot-AGI
   •  Panda: W32/P2Pworm.EU
   •  Eset: Win32/Peerfrag.EC
   •  Bitdefender: Backdoor.Bot.111792


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • \%CLSID%\MsMxEng.exe
   • %Laufwerk%\winguard\wwload.exe



Es werden folgende Dateien erstellt:

%Laufwerk%\winguard\Desktop.ini
%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

– \%CLSID%\Desktop.ini

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="\%CLSID%\MsMxEng.exe"

 Hintertür Die folgenden Ports werden geöffnet:

– di**********.cn am UDP Port 44500
– fr**********.com am UDP Port 44500
– an**********.com am UDP Port 44500

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Dienstag, 16. März 2010
Die Beschreibung wurde geändert von Petre Galan am Dienstag, 16. März 2010

zurück . . . .