Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Palevo.atou.1
Entdeckt am:25/08/2010
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:81.920 Bytes
MD5 Prüfsumme:22B5966625A41D027D51DB93CF7CB548
VDF Version:7.10.04.204
IVDF Version:7.10.11.21 - Mittwoch, 25. August 2010

 Allgemein Aliases:
   •  Kaspersky: P2P-Worm.Win32.Palevo.atou
   •  TrendMicro: WORM_PALEVO.AK
   •  F-Secure: Trojan.Flooder.YAX
   •  Bitdefender: Trojan.Flooder.YAX
   •  Microsoft: TrojanDropper:Win32/Injector.I
   •  Panda: W32/P2Pworm.OY
   •  Eset: Win32/Peerfrag.FD
   •  GData: Trojan.Flooder.YAX
   •  DrWeb: Win32.HLLW.Lime.599


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %Papierkorb%\autorun.exe



Es werden folgende Dateien erstellt:

%Papierkorb%\%CLSID%\Desktop.ini
%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%Papierkorb%\S-1-5-21-0212614389-4405252742-545469730-1202\syscr.exe"

 P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:   Um Standard-Download-Verzeichnisse in Erfahrung zu bringen werden folgende Registry Einträge ausgelesen:
   • Software\BearShare\General
   • Software\iMesh\General
   • Software\Shareaza\Shareaza\Downloads
   • CompletePath
   • Software\Kazaa\LocalContent
   • Software\DC++
   • Software\eMule
   • Software\Microsoft\Windows\CurrentVersion\Uninstall\eMule Plus_is1

   Es wird nach Verzeichnissen gesucht welche folgende Zeichenkette enthalten:
   • \Local Settings\Application Data\Ares\My Shared Folder


 Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– Windows Live Messenger
Alle Einträge aus der Kontaktliste.

 Hintertür Kontaktiert Server:
Den folgenden:
   • ms.mobile****.com:1863


 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • Explorer.exe


 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Irina Diaconescu am Donnerstag, 4. November 2010
Die Beschreibung wurde geändert von Irina Diaconescu am Dienstag, 9. November 2010

zurück . . . .