Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Palevo.110594
Scoperto:21/06/2010
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:110.594 Byte
Somma di controllo MD5:673da79373984cff308a9c23380f9183
Versione IVDF:7.10.08.131 - lunedì 21 giugno 2010

 Generale Alias:
   •  Sophos: W32/Palevo-Z
   •  Bitdefender: Rootkit.37359
   •  Panda: W32/P2PWorm.NW
   •  Eset: Win32/AutoRun.AEN


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file maligni
   • Duplica file maligni
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %HOME%\Application Data\yaptm.exe



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

%temporary internet files%\g2g2_net[1].htm Questo un file di testo non maligno con il seguente contenuto:
   • %codice che avvia malware%

%TEMPDIR%\240021.exe
%temporary internet files%\out[1].exe



Prova a scaricare dei file:

La posizione la seguente:
   • http://www.g2g**********.net/


La posizione la seguente:
   • http://soufibilal.org/**********




Prova ad eseguire i seguenti file:

Nome del file:
   • "%PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE" -nohome


Nome del file:
   • C:\Temp\240021.exe

 Registro I valori della seguente chiave di registro vengono rimossi:



I valori delle seguenti chiavi di registro vengono rimossi:

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Taskman



Viene cambiata la seguente chiave di registro:

[HKLM\SOFTWARE\Classes\TypeLib\
   {1EA4DBF0-3C3B-11CF-810C-00AA00389B71}\1.1\0\win32]
   Nuovo valore:
   • "@"="oleacc.dll"

 Backdoor Le seguenti porte sono aperte:

sam.cha**********.com sulla porta UDP 1293
cha**********.com sulla porta UDP 1293
jus**********.com sulla porta UDP 1293

 Come il virus si inserisce nei processi Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe


 Varie Mutex:
Crea il seguente Mutex:
   • TgeI+21

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su mercoledì 20 ottobre 2010
Descrizione aggiornata da Petre Galan su mercoledì 20 ottobre 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.