Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Palevo.110594
Entdeckt am:21/06/2010
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:110.594 Bytes
MD5 Prfsumme:673da79373984cff308a9c23380f9183
IVDF Version:7.10.08.131 - Montag, 21. Juni 2010

 General Aliases:
   •  Sophos: W32/Palevo-Z
   •  Bitdefender: Rootkit.37359
   •  Panda: W32/P2PWorm.NW
   •  Eset: Win32/AutoRun.AEN


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt schdliche Dateien herunter
   • Erstellt schdliche Dateien
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %HOME%\Application Data\yaptm.exe



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.



Es werden folgende Dateien erstellt:

%temporary internet files%\g2g2_net[1].htm Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%TEMPDIR%\240021.exe
%temporary internet files%\out[1].exe



Es wird versucht die folgenden Dateien herunterzuladen:

Die URL ist folgende:
   • http://www.g2g**********.net/


Die URL ist folgende:
   • http://soufibilal.org/**********




Es versucht folgende Dateien auszufhren:

Dateiname:
   • "%PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE" -nohome


Dateiname:
   • C:\Temp\240021.exe

 Registry Die Werte des folgenden Registry keys werden gelscht:



Die Werte der folgenden Registry keys werden gelscht:

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Taskman



Folgender Registryschlssel wird gendert:

[HKLM\SOFTWARE\Classes\TypeLib\
   {1EA4DBF0-3C3B-11CF-810C-00AA00389B71}\1.1\0\win32]
   Neuer Wert:
   • "@"="oleacc.dll"

 Hintertr Die folgenden Ports werden geffnet:

sam.cha**********.com am UDP Port 1293
cha**********.com am UDP Port 1293
jus**********.com am UDP Port 1293

 Injektion Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • explorer.exe


 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • TgeI+21

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Mittwoch, 20. Oktober 2010
Die Beschreibung wurde geändert von Petre Galan am Mittwoch, 20. Oktober 2010

zurück . . . .