Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Palevo.vsv
La date de la dcouverte:05/03/2010
Type:Ver
En circulation:Oui
Infections signales Faible a moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:71.680 Octets
Somme de contrle MD5:ac20bf7ee9129a1a1d90a729dfee69b9
Version IVDF:7.10.04.233 - vendredi 5 mars 2010

 Gnral Mthode de propagation:
    Programme de messagerie


Les alias:
   •  Sophos: W32/Autorun-BBI
   •  Bitdefender: Worm.Generic.231659
   •  Panda: W32/Koobface.JK
   •  Eset: Win32/Boberog.AK


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il facilite l'accs non autoris l'ordinateur
   • Il diminue les rglages de scurit
   • Il cre des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\msnmgr.exe



Le fichier suivant est cr:

C:\a.txt



Il essaie dexcuter le fichier suivant :

Nom de fichier: Noms des fichiers:
   • "%WINDIR%\msnmgr.exe"

 Registre Il cre l'entre suivante afin de passer par le Firewall de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%le fichier excut%"="%le fichier
      excut%
:*:Enabled:Userinit"



La cl de registre suivante est change:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   La nouvelle valeur:
   • "Userinit"="%SYSDIR%\userinit.exe,%WINDIR%\msnmgr.exe"

 Programme de messagerie Il se rpand par l'intermdiaire du programme de messagerie. Les caractristiques sont dcrites ci-dessous:

Windows Live Messenger
 Yahoo Messenger


Message

   • seen this?? :D
     poglej to fotografijo :D
     pogled na ovu fotografiju :D
     titta p
      min bild :D
     shikoni n
      k
      foto :D
     pozrite sa na t
     to fotografiu :D
     uita-te la aceasta fotografie :D
     katso t
      kuvaa :D
     bu resmi bakmak :D
     olhar para esta foto :D
     spojrzec na to zdjecie :D
     se p
      dette bildet :D
     zd meg a k
     pet :D
     ser p
      dette billede :D
     pod
     vejte se na mou fotku :D
     guardare quest'immagine :D
     look at this picture :D
     bekijk deze foto :D
     mira esta fotograf
     a :D
     schau mal das foto an :D
     regardez cette photo :D

Le URL se rapporte alors une copie du malware dcrit. Si l'utilisateur tlcharge et excute ce fichier le procd d'infection commencera encore.

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: b.msn**********.org
Canal: #bb#
Pseudonyme: n[USA|XP]%nombre%

 Informations divers Mutex:
Il cre le Mutex suivant:
   • SN5JSN868L

 Dtails de fichier Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Petre Galan le jeudi 21 octobre 2010
Description mise à jour par Petre Galan le jeudi 21 octobre 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.