PCの修理が必要ですか?
専門家に頼む
ウイルスWORM/Palevo.abc
発見日:19/08/2011
タイプワーム
感染報告有りはい
感染報告
感染の可能性中~高
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ266.240 バイト
MD5 チェックサム38771EBCABCBE8BEA7D00D2E8232BAC7
VDFファージョン:7.11.13.154 - 2011年8月19日金曜日
IVDFファージョン:7.11.13.154 - 2011年8月19日金曜日

 一般情報 感染方法
   • 自動実行機能
   • メッセンジャー


別名
   •  Kaspersky: Trojan.Win32.VBKrypt.fbnw
   •  Microsoft: Worm:Win32/Dorkbot.I
   •  AhnLab: Trojan/Win32.VBKrypt


プラットフォーム/OS:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


副作用
   • ファイルを作成します。
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • %APPDATA%\%ランダムな文字列%.exe



最初に実行したコピーの方を削除します。

 レジストリ 再起動後そのプロセスを実行するため、以下の値のうちの1つを追加します:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%ランダムな文字列%"="%APPDATA%\%ランダムな文字列%.exe"

 メッセンジャー メッセンジャーを通して感染します。その特徴は以下の通りです:

– Windows Liveメッセンジャー

 IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:

サーバ **********hmoney.biz
ポート: 4042
ニックネーム %ランダムな文字列%

サーバ **********therebitch.com
ポート: 4042
ニックネーム %ランダムな文字列%



– このマルウェアは以下の情報を収集し送る能力があります:
    • ユーザーネーム
    • ウインドウズOSについての情報


– その他以下のアクションを実行することもできます:
    • IRCサーバと接続します。
    • IRCサーバとの接続を終了します。
    • IRCチャンネルに入室する
    • IRCチャンネルを退室する
    • DDoS攻撃を実行する

 挿入(Injection) – これ自体がリモート スレッドとしてプロセスにインジェクションされます。

    プロセス名:|以下のすべて:
   • %ランダムなプロセス%


 その他 アンチ・デバッギング
時刻に関連した手法によってデバッガまたは仮想マシンの使用をチェックします。

 ファイルの詳細 プログラム言語:
このマルウェアプログラムはVisual Basicで書かれています。

説明の挿入者 Andrei Ilie の 2011年10月26日水曜日
説明の更新者 Andrei Ilie の 2011年10月31日月曜日

戻る . . . .
https:// このウィンドウは暗号化されています。