Name:Worm/Palevo.nfn
Entdeckt am:28/12/2009
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:138.752 Bytes
MD5 Prüfsumme:c815412b85179aeec5a62d6b7ad19e60
IVDF Version:7.10.02.77 - Montag, 28. Dezember 2009

 General Aliases:
   •  Mcafee: W32/Palevo
   •  Panda: W32/Slenfbot.AE
   •  Eset: Win32/AutoRun.IRCBot.DZ
   •  Bitdefender: Trojan.Generic.IS.420679


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\wmisfrh.exe




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://1.img-myspace.info/net/**********

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ctfmon.exe"="ctfmon.exe"



Um die Windows XP Firewall zu umgehen werden folgende Einträge erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\wmisfrh.exe"="%SYSDIR%\wmisfrh.exe:*:Enabled:UPnP Firewall"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\DomainProfile\AuthorizedApplications\List]
   • "%SYSDIR%\wmisfrh.exe"="%SYSDIR%\wmisfrh.exe:*:Enabled:UPnP Firewall"



Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ctfmon.exe]
   • "Debugger"="wmisfrh.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\
   Layers]
   • "%SYSDIR%\wmisfrh.exe"=""



Folgende Registryschlüssel werden geändert:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
   Neuer Wert:
   • "ctfmon.exe"="ctfmon.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
   Neuer Wert:
   • "ctfmon.exe"="ctfmon.exe"

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: tealc.dw**********.info
Port: 35920
Passwort des Servers: su1c1d3
Channel: #net
Nickname: USA|V3H|0|XP|%Nummer%

 Injektion – Es injiziert sich als einen Thread in einen Prozess.

    Prozessname:
   • explorer.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Mittwoch, 17. März 2010
Die Beschreibung wurde geändert von Petre Galan am Mittwoch, 17. März 2010

zurück . . . .