Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Palevo.coye
Entdeckt am:25/04/2011
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:21.025 Bytes
MD5 Prfsumme:90b19125c986f17662a8f90a186c555b
VDF Version:7.11.07.09 - Montag, 25. April 2011
IVDF Version:7.11.07.09 - Montag, 25. April 2011

 Allgemein Aliases:
   •  Kaspersky: P2P-Worm.Win32.Palevo.coye
   •  Bitdefender: Trojan.Generic.6116562
     GData: Trojan.Generic.6116562
     DrWeb: Trojan.Inject.37080


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schdliche Dateien
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %Papierkorb%\%CLSID%\syitm.exe



Es wird folgende Datei erstellt:

%Papierkorb%\%CLSID%\Desktop.ini

 Registry Die folgenden Registryschlssel werden hinzugefgt um die Prozesse nach einem Neustart des Systems erneut zu starten.

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%Papierkorb%\%CLSID%\syitm.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Tnaww"="%Papierkorb%\%CLSID%\syitm.exe"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="explorer.exe,%Papierkorb%\%CLSID%\syitm.exe"

 Hintertr Kontaktiert Server:
Den folgenden:
   • dq.jav**********.com:8800 (TCP)


 Injektion Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • explorer.exe


 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • acddww

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 21. Juli 2011
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 21. Juli 2011

zurück . . . .