PCの修理が必要ですか?
専門家に頼む
ウイルスWorm/Palevo.nfn
発見日:28/12/2009
タイプワーム
感染報告有りはい
感染報告
感染の可能性
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ138.752 バイト
MD5 チェックサムc815412b85179aeec5a62d6b7ad19e60
IVDFファージョン:7.10.02.77 - 2009年12月28日月曜日

 一般情報 別名
   •  McAfee(マカフィー) W32/Palevo
   •  Panda W32/Slenfbot.AE
   •  Eset Win32/AutoRun.IRCBot.DZ
   •  ビットディフェンダー(Bitdefender): Trojan.Generic.IS.420679


プラットフォーム/OS:
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003


副作用
   • 悪意ファイルをダウンロードします。
   • 悪意ファイルを作成します。
   • レジストリの改変。
   • サード・パーティ・コントロール

 ファイル それ自体を以下の場所にコピーします。
   • %SYSDIR%\wmisfrh.exe




ファイルをダウンロードしようとします:

– 場所は以下の通りです:
   • http://1.img-myspace.info/net/**********

 レジストリ 再起動後そのプロセスを実行するため、以下の値のうちの1つを追加します:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ctfmon.exe"="ctfmon.exe"



ウインドウズXPのファイアウォールをバイパスするため、以下のエントリを作成します:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\wmisfrh.exe"="%SYSDIR%\wmisfrh.exe:*:Enabled:UPnP Firewall"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\DomainProfile\AuthorizedApplications\List]
   • "%SYSDIR%\wmisfrh.exe"="%SYSDIR%\wmisfrh.exe:*:Enabled:UPnP Firewall"



以下のレジストリ・キーが追加されます:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ctfmon.exe]
   • "Debugger"="wmisfrh.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\
   Layers]
   • "%SYSDIR%\wmisfrh.exe"=""



以下のレジストリ・キーは変更されます:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
   新しい値
   • "ctfmon.exe"="ctfmon.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
   新しい値
   • "ctfmon.exe"="ctfmon.exe"

 IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:

サーバ tealc.dw**********.info
ポート: 35920
サーバ・パスワード su1c1d3
チャンネル #net
ニックネーム USA|V3H|0|XP|%番号%

 挿入(Injection) – プロセスにスレッドとして挿入します。

    プロセス名:|以下のすべて:
   • explorer.exe


 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Petre Galan の 2010年3月17日水曜日
説明の更新者 Petre Galan の 2010年3月17日水曜日

戻る . . . .
https:// このウィンドウは暗号化されています。