Nume:Worm/Palevo.nfn
Descoperit pe data de:28/12/2009
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:138.752 Bytes
MD5:c815412b85179aeec5a62d6b7ad19e60
Versiune IVDF:7.10.02.77 - Montag, 28. Dezember 2009

 General Alias:
   •  Mcafee: W32/Palevo
   •  Panda: W32/Slenfbot.AE
   •  Eset: Win32/AutoRun.IRCBot.DZ
   •  Bitdefender: Trojan.Generic.IS.420679


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Creeaza fisiere malware
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\wmisfrh.exe




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://1.img-myspace.info/net/**********

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ctfmon.exe"="ctfmon.exe"



Creeaza urmatoarea valoare, pentru a trece de Windows firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\wmisfrh.exe"="%SYSDIR%\wmisfrh.exe:*:Enabled:UPnP Firewall"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\DomainProfile\AuthorizedApplications\List]
   • "%SYSDIR%\wmisfrh.exe"="%SYSDIR%\wmisfrh.exe:*:Enabled:UPnP Firewall"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ctfmon.exe]
   • "Debugger"="wmisfrh.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\
   Layers]
   • "%SYSDIR%\wmisfrh.exe"=""



Urmatoarele chei din registri sunt modificate:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
   Noua valoare:
   • "ctfmon.exe"="ctfmon.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
   Noua valoare:
   • "ctfmon.exe"="ctfmon.exe"

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: tealc.dw**********.info
Port: 35920
Parola serverului: su1c1d3
Canal: #net
Nick: USA|V3H|0|XP|%numar%

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • explorer.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Petre Galan am Mittwoch, 17. März 2010
Die Beschreibung wurde geändert von Petre Galan am Mittwoch, 17. März 2010

zurück . . . .