Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Palevo.acpp
Scoperto:26/07/2010
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:393.216 Byte
Somma di controllo MD5:3fd301b3b08e66bd94f05b9bc2cbabc6
Versione IVDF:7.10.09.219 - lunedì 26 luglio 2010

 Generale Metodo di propagazione:
   • Peer to Peer


Alias:
   •  Sophos: Troj/Agent-OBK
   •  Panda: W32/IrcBot.CYL.worm
   •  Eset: Win32/Boberog.AX


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Duplica file “maligni”
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %TEMPDIR%\lsass.exe
   • %TEMPDIR%\lToRo.exe
   • C:\Users\User\Documents\LimeWire\MicrosoftPointGenerator.exe
   • C:\Users\User\Documents\LimeWire\HostBooter.exe
   • C:\Users\User\Documents\LimeWire\NeroKeygen.exe
   • C:\Users\User\Documents\LimeWire\AdobeKeygen.exe
   • C:\Users\User\Documents\LimeWire\retardedpicturelol.exe
   • C:\Users\User\Documents\LimeWire\Microsoft_Update.exe
   • C:\Users\User\Documents\LimeWire\AdobePhotoShopKeygen.exe
   • C:\Users\User\Documents\LimeWire\MicrosoftOfficeKeygen.exe
   • C:\Users\User\Documents\LimeWire\MicrosoftOffice2007Keygen.exe
   • C:\Users\Public\SystemCleanup.exe
   • C:\Users\Public\RunescapeMoneyHacker.exe
   • C:\Users\Public\MicrosoftPointGenerator.exe
   • C:\Users\Public\HostBooter.exe
   • C:\Users\Public\NeroKeygen.exe
   • C:\Users\Public\AdobeKeygen.exe
   • C:\Users\Public\retardedpicturelol.exe
   • C:\Users\Public\Microsoft_Update.exe
   • C:\Users\Public\AdobePhotoShopKeygen.exe
   • C:\Users\Public\MicrosoftOfficeKeygen.exe
   • C:\Users\Public\MicrosoftOffice2007Keygen.exe
   • C:\Users\User\Downloads\SystemCleanup.exe
   • C:\Users\User\Downloads\RunescapeMoneyHacker.exe
   • C:\Users\User\Downloads\MicrosoftPointGenerator.exe
   • C:\Users\User\Downloads\HostBooter.exe
   • C:\Users\User\Downloads\NeroKeygen.exe
   • C:\Users\User\Downloads\AdobeKeygen.exe
   • C:\Users\User\Downloads\retardedpicturelol.exe
   • C:\Users\User\Downloads\Microsoft_Update.exe
   • C:\Users\User\Downloads\AdobePhotoShopKeygen.exe
   • C:\Users\User\Downloads\MicrosoftOfficeKeygen.exe
   • C:\Users\User\Downloads\MicrosoftOffice2007Keygen.exe



Cancella il seguente file:
   • %TEMPDIR%\LPRD.bat



Viene creato il seguente file:

%TEMPDIR%\LPRD.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.



Prova ad eseguire il seguente file:

– Nome del file:
   • cmd /c ""C:\Temp\LPRD.bat" "

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Firewall"="%TEMPDIR%\lsass.exe"
   • "cHa"="%TEMPDIR%\lToRo.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Rk6s2LSdQm"="%TEMPDIR%\lToRo.exe"
   • "Windows Firewall"="%TEMPDIR%\lsass.exe"



Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Active Setup\Installed Components\
   {CLVQ0DSR-QSFT-LBKV-FZYX-CVZEGNEMN16E}]
   • "StubPath"="%TEMPDIR%\lToRo.exe"

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {CLVQ0DSR-QSFT-LBKV-FZYX-CVZEGNEMN16E}]
   • "StubPath"="%TEMPDIR%\lToRo.exe"

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:   Cerca le directory che contengono una delle seguenti sottostringhe:
   • winmx\shared\
   • tesla\files\
   • limewire\shared\
   • morpheus\my shared folder\
   • emule\incoming\
   • edonkey2000\incoming\
   • bearshare\shared\
   • grokster\my grokster\
   • icq\shared folder\
   • kazaa lite k++\my shared folder\
   • kazaa lite\my shared folder\
   • kazaa\my shared folder\

   Se riuscito, i seguenti file vengono creati:
   • Sony Vegas Pro 9.0c Build 896.exe; WinRAR v3.90 Final Cracked.exe;
      LimeWire PRO v5.4.6.1.exe; Magic ISO Maker 5.4-CRACKED.exe; Adobe
      Photoshop Crack.exe; CyberLink PowerDVD Ultra Deluxe Multilingual.exe;
      Microsoft Office 2010 Professional Plus RC0 Build 4734-WinBeta.exe;
      NOD32 Anti-Virus 4.0.468.0-For Life.exe; Adobe Photoshop CS4
      Extended.exe; Young.Money-We.Are.Young.Money-(Retail)-2009-[NoFS].exe;
      Young Money ft. Lloyd - BedRock [.mp3] - NEW SINGLE.exe; Young Money -
      We Are Young Money (Retail)(GroupRip)(2009)-(Rap-M.exe; Yeah Yeah
      Yeahs - It's Blitz [mp3-192-2009].exe; Xilisoft avi to DVD converter
      v3.0.26 + keygen.exe; WinZip PRO v12.1 + Serials By ChattChitto.exe;
      Windows 7 Home Edition Service Pack 2 (x86).exe; WINDOWS 7 KEYGEN.exe;
      WinRAR_3.80_Professional.exe; WinRAR v3.90 Final + KeyReg By
      ChattChitto.exe; WinRAR 3.90 Beta 4 Cracked + Keygen +
      Instructions.txt + tnedor.exe;
      WINDOWS_XP_PRO_32-BIT_SP3_ISO_ACTIVATED_GENUINE.exe; Windows XP Home
      Edition with Service Pack 3 Retail (x86) (TPB).exe; Windows XP
      Activation Crack.exe; Windows 7 Ultimate(32 & 64 bit) Self Activation
      - Jz.exe; Windows 7 Ultimate AIO Activated.exe; Windows 7 Ultimate
      (Activated and TESTED!).exe; Windows 7 crack RemoveWAT 2.2.5.Hazar
      carter67.exe; Windows 7 Autoactivable [Spanish].exe; Windows 7 all
      version 7600 16385 RTM Activator [by Sk].exe; Windows 7 All Editions -
      Activated x32x64 January 2010[ kk ].exe; VMWare Workstation
      6.5.3.185404 Incl Keygen(Tested, Works 100%).exe; Usher-Raymond Vs
      Raymond-2010-P2P.exe; UK Top 40 Singles Chart 14-03-2010.exe; UK Top
      40 Singles Chart 07-03-2010.exe; U2 - Discography.exe; The Beatles -
      discography (2009 Remastered).exe; Adobe Photoshop CS3 Extended
      Version Full + Crack.exe; Adobe Flash CS4 Professional + Keygen.exe;
      Adobe Dreamweaver CS4 + Keygen & Activation Patch.exe; Adobe CS4
      Master Collection -MT-.exe; Adobe CS4 Master Collection Mac - EN FR
      ESP.exe; Adobe CS3 Photoshop Extended and Illustrator - All
      Cracked.exe; Adobe After Effects CS4 (Final) + Crack [RH].exe; ADOBE
      ACROBAT 9.2.0 PRO EXTENDED EDITION + 9.3.1 UPDATE.exe; ACDC -
      Discography - 1975-2008 (31 CD's plus many extras & co.exe;
      The.Sims.3.High.End.Loft.Stuff-ViTALiTY.exe;
      The.Princess.And.The.Frog.DVDRSCREENER.XviD-MENTiON.avi.exe;
      The.Office.S06E19.HDTV.XviD-LOL.[VTV].avi.exe;
      The.Crazies.2010.TS.XviD-Rx.exe;
      The.Book.of.Eli.2010.TS.XviD-IMAGiNE.avi.exe; The Spy Next Door (2010)
       DVDRiP LiNE XViD READNFO - IMAGiNE.exe; The Sims 3 World
      Adventures-RELOADED.exe; The Sims 3 World Adventures Update
      2.5.12-ViTALiTY.exe; The Sims 3 - Razor1911 Final MAXSPEED.exe; The
      Pacific (HBO 2010 - Part 1).exe; The Men Who Stare at Goats (2009)
      Spanish BRSCR.exe; The Men Who Stare at Goats (2009) R5 DVDRip
      XviD-MAX.exe; The Informant![2009]DvDrip[Eng]-FXG.exe; Prototype [PC]
      [MULTI2].exe; Pro.Evolution.Soccer.2010-RELOADED.exe;
      Prison.Break.The.Conspiracy.CLONEDVD-AVENGED-[tracker.BTARENA.or.exe;
      Prison Break The Conspiracy [RF] [X360] [www.SoloEstreno.com].exe;
      Prison Break The Conspiracy [PC] [www.SoloEstreno.com].exe; Plants vs
      Zombies [KTB] - v1.0.0.1051.exe; Planet 51 (2009) R5 DVDRip
      XviD-MAX.exe;
      Percy.Jackson.E.Gli.Dei.Dell.Olimpo.Il.Ladro.Di.Fulmini.2010.iTA.exe;
      Percy Jackson and the Olympians (2010) Spanish DVDSCR.exe; Percy
      Jackson and the Olympians (2010) R5 DVDRip XviD-MAX.exe;
      Order.of.Chaos.2010.DVDRip.XviD-SPRiNTER.exe;
      Alice.in.Wonderland-ViTALiTY.iso.exe; Alice In Wonderland 2010 TS XViD
      - IMAGiNE[ExtraTorrent].exe; Age of Empires 3.exe;
      A.Serious.Man.2009.LIMITED.DVDRip.XviD-ESPiSE.avi.exe; 30 Rock S04E15
      HDTV XviD-LOL [eztv].exe; 24.S08E12.HDTV.XviD-CRiMSON.avi.exe;
      2012[2009]DvDrip[Eng]-FXG.exe; porno.scr2012 (2009) R5 DVDRip
      XviD-MAX.exe; headjobs.scr; ilovetofuck.scr;
      FREEPORN.exe,fuckshitcunt.scr; Autoloader.exe; Wireshark.exe;
      DDOSPING.exe; ScreenMelter.exe; How-to-make-money.exe; Ebooks.exe;
      WildHorneyTeens.scr; RapidsharePREMIUM.exe; LimeWireCrack.exe;
      Porno.MPEG.exe; image.scr; VistaUltimate-Crack.exe; paris-hilton.scr;
      MSNHacks.exe; YahooCracker.exe; HotmailHacker.exe


 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: stoneytheboss.no-**********.info
Porta: 6667
Canale: #dervieboy
Nickname: -NEW-{USA|XP-SP3|612655}

 Varie Mutex:
Crea il seguente Mutex:
   • C3GGF39MQ23Z

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su lunedì 8 novembre 2010
Descrizione aggiornata da Petre Galan su giovedì 11 novembre 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.