PCの修理が必要ですか?
専門家に頼む
ウイルスWorm/Palevo.amyr
発見日:22/06/2010
タイプワーム
感染報告有りはい
感染報告低~中
感染の可能性
ダメージ・ポテンシャル低~中
スタティック・ファイルはい
ファイル・サイズ1.495.040 バイト
MD5 チェックサムdc6c7a5da9145187c60374954359538c
IVDFファージョン:7.10.08.153 - 2010年6月22日火曜日

 一般情報 感染方法
   • 自動実行機能
   • メッセンジャー
   • P2P(ピアツーピア)


別名
   •  Bitdefender: Trojan.Generic.4372066
   •  Panda W32/P2Pworm.MW
   •  Eset Win32/Agent.RKD


プラットフォーム/OS:
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用
   • 悪意ファイルをダウンロードします。
   • 悪意ファイルを作成します。
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • %ドライバ% \U3ROM\flyhigh.exe
   • %ごみ箱%\%CLSID%\recycle.exe



最初に実行したコピーの方を削除します。



以下のファイルを消去します。
   • %ごみ箱%\%CLSID%\Desktop.ini



以下のファイルが作成されます:

%ごみ箱%\%CLSID%\Desktop.ini
%ドライバ% \autorun.inf これは以下の内容を含む、悪意のないテキスト・ファイルです:
   • %マルウェアを実行するコード%

– %ALLUSERSPROFILE%\Application Data\TEMP:ABA49B0C
%temporary internet files%\830[1].exe
– %HOME%\Application Data\vfbu.exe
%TEMPDIR%\686.exe



ファイルをダウンロードしようとします:

– 場所は以下の通りです:
   • http://193.252.122.54/campingmanucrots/images/miniaturphil/**********




以下のファイルを起動しようとします:

– 以下のファイルのうちのどれかを起動しようとします:
   • %TEMPDIR%\686.exe

 レジストリ 以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%HOME%\Application Data\vfbu.exe"

 P2P P2P(ピアツーピア)ネットワーク内の他のシステムに感染するため、以下のアクションを実行します:   以下のレジストリ・キーを検索することで共有フォルダを見つけます:
   • Software\BearShare\General
   • Software\iMesh\General
   • Software\Shareaza\Shareaza\Downloads
   • Software\Kazaa\LocalContent
   • Software\DC++
   • Software\eMule
   • Software\Microsoft\Windows\CurrentVersion\Uninstall\eMule Plus_is1

   以下のサブストリング(substring)を含むディレクトリを検索します:
   • \Local Settings\Application Data\Ares\My Shared Folder


 メッセンジャー メッセンジャーを通して感染します。その特徴は以下の通りです:

– Windows Liveメッセンジャー

URLは上記のマルウェアのコピーを指します。ユーザがそれをダウンロードし実行すると、感染を再び開始します。

 バックドア 以下のポートが開かれます:

– upd**********.com UDPポートに 7008
– upd**********.net UDPポートに 7008
– liv**********.com UDPポートに 7008

 挿入(Injection) – プロセスにリモートスレッドとして挿入します。

    プロセス名:|以下のすべて:
   • explorer.exe


 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Petre Galan の 2010年9月8日水曜日
説明の更新者 Petre Galan の 2010年9月8日水曜日

戻る . . . .
https:// このウィンドウは暗号化されています。