Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Palevo.778.A
Scoperto:09/09/2010
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:77.824 Byte
Somma di controllo MD5:e4008aa4d642e714991a71b65c0b89fa
Versione VDF:7.10.05.24
Versione IVDF:7.10.11.120 - giovedì 9 settembre 2010

 Generale Alias:
   •  Sophos: Mal/Rimecud-E
   •  Bitdefender: Trojan.Bredolab.DA
   •  Panda: W32/P2Pworm.OY
   •  Eset: Win32/Bflient.K
     GData: Trojan.Bredolab.DA


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file maligni
   • Duplica file maligni
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %HOME%\Application Data\ltzqai.exe



Sovrascrive i seguenti file.
%cestino%\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe
%cestino%\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini



Vengono creati i seguenti file:

%cestino%\%CLSID%\Desktop.ini
%cestino%\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
%cestino%\%CLSID%\jwjqa.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Crypt.XPACK.Gen2

%cestino%\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe
%cestino%\%CLSID%\games.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Crypt.XPACK.Gen2

%cestino%\%CLSID%\lsvb.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Crypt.XPACK.Gen2

%cestino%\%CLSID%\jwkd.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Crypt.XPACK.Gen2

%cestino%\%CLSID%\lsq.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Crypt.XPACK.Gen2

%cestino%\%CLSID%\jikd.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Crypt.XPACK.Gen2

%cestino%\%CLSID%\dfe.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Crypt.XPACK.Gen2




Prova a scaricare dei file:

La posizione la seguente:
   • http://two.natnatraoi.com/**********
Viene salvato in locale sotto: %TEMPDIR%\%numero%.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Crypt.XPACK.Gen2


La posizione la seguente:
   • http://two.natnatraoi.com/**********
Viene salvato in locale sotto: %TEMPDIR%\%numero%.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Crypt.XPACK.Gen2


La posizione la seguente:
   • http://two.natnatraoi.com/**********
Viene salvato in locale sotto: %TEMPDIR%\%numero%.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Crypt.XPACK.Gen2


La posizione la seguente:
   • http://two.natnatraoi.com/**********
Viene salvato in locale sotto: %TEMPDIR%\%numero%.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Crypt.XPACK.Gen2


La posizione la seguente:
   • http://two.natnatraoi.com/**********
Viene salvato in locale sotto: %TEMPDIR%\%numero%.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Crypt.XPACK.Gen2


La posizione la seguente:
   • http://b.suhi4hr.net/**********
Viene salvato in locale sotto: %TEMPDIR%\%numero%.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato.

La posizione la seguente:
   • http://two.natnatraoi.com/**********
Viene salvato in locale sotto: %TEMPDIR%\%numero%.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Crypt.XPACK.Gen2


La posizione la seguente:
   • http://two.natnatraoi.com/**********
Viene salvato in locale sotto: %TEMPDIR%\%numero%.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Crypt.XPACK.Gen2

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%cestino%\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Fgfk"="%cestino%\%CLSID%\lsq.exe"
   • "Fnfx"="%cestino%\%CLSID%\dfe.exe"
   • "Fvbk"="%cestino%\%CLSID%\lsvb.exe"
   • "games"="%cestino%\%CLSID%\games.exe"
   • "jaqq"="%cestino%\%CLSID%\jwkd.exe"
   • "jkqq"="%cestino%\%CLSID%\jikd.exe"
   • "sdjwe"="%cestino%\%CLSID%\jwjqa.exe"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="%cestino%\%CLSID%\dfe.exe,%cestino%\%CLSID%\lsq.exe,%cestino%\%CLSID%\jikd.exe,%cestino%\%CLSID%\lsvb.exe,%cestino%\%CLSID%\jwjqa.exe,%cestino%\%CLSID%\games.exe,%HOME%\Application Data\ltzqai.exe,explorer.exe,%cestino%\%CLSID%\jwkd.exe"

 Backdoor Contatta il server:
Tutti i seguenti:
   • hub3.toi**********.com:9955 (UDP)
   • tf122.tef**********.com:8800 (TCP)
   • 60.190.22**********.125:1110 (TCP)
   • 209.90.13**********.220:8800 (TCP)
   • tf50.tef**********.com:8800 (TCP)
   • tf18.tef**********.com:8800 (TCP)
   • tf130.tef**********.com:8800 (TCP)
   • tf98.tef**********.com:8800 (TCP)
   • 66.7.22**********.26:8800 (TCP)


 Come il virus si inserisce nei processi Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe


 Varie Accede alle risorse Internet:
   • http://two.natnatraoi.com/**********
   • http://two.natnatraoi.com/**********


Mutex:
Crea il seguente Mutex:
   • nbev+32

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su martedì 15 marzo 2011
Descrizione aggiornata da Petre Galan su martedì 15 marzo 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.