¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Palevo.CJ
Descubierto:22/03/2009
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:81.920 Bytes
Suma de control MD5:2debd02eef9cf2dafe3b2c5ec35b72bc
Versin del IVDF:7.01.02.200 - domingo 22 de marzo de 2009

 General Alias:
   •  Sophos: W32/Palevo-AI
   •  Bitdefender: Backdoor.Tofsee.DI
   •  Panda: W32/P2Pworm.OJ
   •  Eset: Win32/Inject.NDR


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dainos
   • Suelta ficheros dainos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
CVE-2007-1204
MS07-019

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %HOME%\Application Data\ltzqai.exe



Crea los siguientes ficheros:

%HOME%\Local Settings\Temporary Internet Files\Content.IE5\%serie de caracteres aleatorios%\a2[1].exe
%SYSDIR%\msvmiode.exe Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Kazy.6393

%HOME%\Local Settings\Temporary Internet Files\Content.IE5\%serie de caracteres aleatorios%\9[1].exe Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Kazy.6393

%TEMPDIR%\8295623.exe Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Kazy.6393

%WINDIR%\gwdrive32.exe
%TEMPDIR%\3156714.exe



Intenta descargar algunos ficheros:

La direccin es la siguiente:
   • http://91.217.162.230/**********


La direccin es la siguiente:
   • http://91.217.162.80/**********




Intenta ejecutar los ficheros siguientes:

Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\3156714.exe


Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\8295623.exe


Ejecuta uno de los ficheros siguientes:
   • %WINDIR%\gwdrive32.exe


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\msvmiode.exe

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%HOME%\Application Data\ltzqai.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "MSODESNV7"="%SYSDIR%\msvmiode.exe"
   • "Microsoft Driver Setup"="%WINDIR%\gwdrive32.exe"



Crea las siguientes entradas para evitar el cortafuego de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"=dword:0x00000000

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%TEMPDIR%\3156714.exe"="%TEMPDIR%\3156714.exe:*:%WINDIR%\gwdrive32.exe"



Aade las siguientes claves al registro:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup]
   • "host"="%direccin IP%"
   • "id"="53278313365887547050409651089924"
   • "ridt100413"="1"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "Microsoft Driver Setup"="%WINDIR%\gwdrive32.exe"

 Backdoor (Puerta trasera) Servidor contactado:
Uno de los siguientes:
   • ff.fjp**********.com:9955 (UDP)
   • ff.fif**********.com:9955 (UDP)
   • aaaaaaaa.sch**********.us:7196 (TCP)


 Inyectar el cdigo viral en otros procesos Se inyecta como un hilo de ejecucin remoto en un proceso.

    Nombre del proceso:
   • explorer.exe


 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • nbev+32

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el martes 4 de enero de 2011
Descripción actualizada por Andrei Ivanes el viernes 7 de enero de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.