Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:WORM/Palevo.abc
Scoperto:19/08/2011
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:266.240 Byte
Somma di controllo MD5:38771EBCABCBE8BEA7D00D2E8232BAC7
Versione VDF:7.11.13.154 - venerdì 19 agosto 2011
Versione IVDF:7.11.13.154 - venerdì 19 agosto 2011

 Generale Metodi di propagazione:
    Funzione di esecuzione automatica
    Messenger


Alias:
   •  Kaspersky: Trojan.Win32.VBKrypt.fbnw
     Microsoft: Worm:Win32/Dorkbot.I
AhnLab: Trojan/Win32.VBKrypt


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %APPDATA%\%stringa di caratteri casuale%.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%APPDATA%\%stringa di caratteri casuale%.exe"

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

Windows Live Messenger

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: **********hmoney.biz
Porta: 4042
Nickname: %stringa di caratteri casuale%

Server: **********therebitch.com
Porta: 4042
Nickname: %stringa di caratteri casuale%



 Questo malware ha la capacit di recuperare ed inviare informazioni quali:
    • Nome Utente
    • Informazioni sul sistema operativo Windows


 In pi ha la capacit di effettuare azioni quali:
     connettere al server IRC
     disconnettere dal server IRC
    • Connettersi al canale IRC
    • Abbandonare il canale IRC
    • Eseguire un attacco DdoS

 Come il virus si inserisce nei processi  Si inserisce come minaccia remota nei processi.

    Nome del processo:
   • %processo casuale%


 Varie Anti debugging
Cerca il debugger o la macchina virtuale utilizzando tecniche legate al tempo.

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in Visual Basic.

Descrizione inserita da Andrei Ilie su mercoledì 26 ottobre 2011
Descrizione aggiornata da Andrei Ilie su lunedì 31 ottobre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.