Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:Worm/Palevo.nfn
Descoperit pe data de:28/12/2009
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:138.752 Bytes
MD5:c815412b85179aeec5a62d6b7ad19e60
Versiune IVDF:7.10.02.77 - luni, 28 decembrie 2009

 General Alias:
   •  Mcafee: W32/Palevo
   •  Panda: W32/Slenfbot.AE
   •  Eset: Win32/AutoRun.IRCBot.DZ
   •  Bitdefender: Trojan.Generic.IS.420679


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Creeaza fisiere malware
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\wmisfrh.exe




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://1.img-myspace.info/net/**********

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ctfmon.exe"="ctfmon.exe"



Creeaza urmatoarea valoare, pentru a trece de Windows firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\wmisfrh.exe"="%SYSDIR%\wmisfrh.exe:*:Enabled:UPnP Firewall"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\DomainProfile\AuthorizedApplications\List]
   • "%SYSDIR%\wmisfrh.exe"="%SYSDIR%\wmisfrh.exe:*:Enabled:UPnP Firewall"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ctfmon.exe]
   • "Debugger"="wmisfrh.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\
   Layers]
   • "%SYSDIR%\wmisfrh.exe"=""



Urmatoarele chei din registri sunt modificate:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
   Noua valoare:
   • "ctfmon.exe"="ctfmon.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
   Noua valoare:
   • "ctfmon.exe"="ctfmon.exe"

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: tealc.dw**********.info
Port: 35920
Parola serverului: su1c1d3
Canal: #net
Nick: USA|V3H|0|XP|%numar%

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • explorer.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Wednesday, March 17, 2010
Description updated by Petre Galan on Wednesday, March 17, 2010

Back . . . .