Need help? Ask the community or hire an expert.
Go to Avira Answers
??:Worm/Palevo.BG
????:13/12/2012
??:??
????:?
????????????????
??/?????????
?? / ????????????
????:?
????:98.304 ??
MD5 ???:2d06539d0fc214a455cc410ec05cadf8
VDF ??:7.11.53.216 - 2012년 12월 13일 목요일
IVDF ??:7.11.53.216 - 2012년 12월 13일 목요일

 ???? ????:
    ??????Autorun??
    Messenger
   • ????


??:
   •  Kaspersky: P2P-Worm.Win32.Palevo.bkea
   •  Sophos: Mal/Palevo-A
   •  Bitdefender: Trojan.Generic.KDV.92297
   •  Panda: W32/P2PWorm.PQ
     GData: Trojan.Generic.KDV.92297


??/????:
   • Windows 2000
   • Windows XP
   • Windows 2003


???:
   • ??????
   • ??????
   • ?????
   • ????
   • ??????
CVE-2007-1204
MS07-019

 ?? ???????????:
   • %???%\%CLSID%\csisd.exe
   • %???%\RECYCLER\autorun.exe



??????:

%???%\%CLSID%\Desktop.ini
%???%\autorun.inf ???????????????????:
   • %????????%

%???%\%CLSID%\jwjqa.exe
%???%\%CLSID%\ju7bd.exe
%???%\%CLSID%\psyjo3.exe
%???%\%CLSID%\jwkd.exe
%???%\%CLSID%\lsq.exe
%???%\%CLSID%\dfe.exe
%WINDIR%\ghdrive32.exe ?????????????????? ???: TR/Dldr.FirNix.AD

%???%\%CLSID%\t7vd.exe
%???%\%CLSID%\lsvb.exe
%???%\%CLSID%\jikd.exe
%???%\%CLSID%\system.exe



??????????:

???????:
   • http://two.natnatraoi.com/**********
???????????????: %TEMPDIR%\572.exe

???????:
   • http://two.natnatraoi.com/**********
???????????????: %TEMPDIR%\962.exe ?????????????????? ???: TR/Dldr.FirNix.AD


???????:
   • http://two.natnatraoi.com/**********
???????????????: %TEMPDIR%\176.exe

???????:
   • http://two.natnatraoi.com/**********
???????????????: %TEMPDIR%\600.exe

???????:
   • http://two.natnatraoi.com/**********
???????????????: %TEMPDIR%\231.exe

???????:
   • http://two.natnatraoi.com/**********
???????????????: %TEMPDIR%\032.exe

???????:
   • http://two.natnatraoi.com/**********
???????????????: %TEMPDIR%\595.exe

???????:
   • http://two.natnatraoi.com/**********
???????????????: %TEMPDIR%\485.exe

???????:
   • http://two.natnatraoi.com/**********
???????????????: %TEMPDIR%\924.exe

???????:
   • http://two.natnatraoi.com/**********
???????????????: %TEMPDIR%\686.exe

???????:
   • http://two.natnatraoi.com/**********
???????????????: %TEMPDIR%\904.exe



??????????:

???:
   • %TEMPDIR%\485.exe


???:
   • %TEMPDIR%\924.exe


???:
   • %TEMPDIR%\904.exe


???:
   • %TEMPDIR%\231.exe


???:
   • %TEMPDIR%\176.exe


???:
   • %TEMPDIR%\032.exe


???:
   • %TEMPDIR%\686.exe


???:
   • %TEMPDIR%\572.exe


???:
   • %TEMPDIR%\600.exe


???:
   • %TEMPDIR%\962.exe


???:
   • %TEMPDIR%\595.exe


???:
   • %WINDIR%\ghdrive32.exe

 ??? ????????????????????????:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%???%\%CLSID%\csisd.exe"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="%???%\%CLSID%\dfe.exe,%???%\%CLSID%\system.exe,%???%\S-1-5-21-0243556031-888888379-781863308-2734\ju7bd.exe,%???%\S-1-5-21-0243556031-888888379-781863308-1343\jwjqa.exe,%???%\S-1-5-21-0243556031-888888379-781863308-8333\lsvb.exe,%???%\S-1-5-21-0243556031-888888379-781863308-8763\lsq.exe,%???%\S-1-5-21-0243556031-888888379-781863308-9143\jikd.exe,%???%\S-1-5-21-0243556031-888888379-781863308-9043\jwkd.exe,%???%\S-1-5-21-0243556031-888888379-781863308-1214\t7vd.exe,explorer.exe,%???%\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Fgfk"="%???%\%CLSID%\lsq.exe"
   • "Fnfx"="%???%\%CLSID%\dfe.exe"
   • "Fvbk"="%???%\%CLSID%\lsvb.exe"
   • "Teswf"="%???%\%CLSID%\system.exe"
   • "jaqq"="%???%\%CLSID%\jwkd.exe"
   • "jkqq"="%???%\%CLSID%\jikd.exe"
   • "ju7bd"="%???%\%CLSID%\ju7bd.exe"
   • "psysjo3"="%???%\%CLSID%\psyjo3.exe"
   • "sdjwe"="%???%\%CLSID%\jwjqa.exe"
   • "t7vd"="%???%\%CLSID%\t7vd.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Driver Setup"="%WINDIR%\ghdrive32.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "Microsoft Driver Setup"="%WINDIR%\ghdrive32.exe"



???????????? Windows XP ???:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"=dword:0x00000000

 P2P ????????????????????????:   ????????????????????:
   • Software\BearShare\General
   • Software\iMesh\General
   • Software\Shareaza\Shareaza\Downloads
   • Software\Kazaa\LocalContent
   • Software\DC++
   • Software\eMule
   • Software\Microsoft\Windows\CurrentVersion\Uninstall\eMule Plus_is1

   ???????????????:
   • \Local Settings\Application Data\Ares\My Shared Folder


 Messenger ???? Messenger ???? ?????????:

 Windows Messenger

? URL ??????????????? ????????????????????????

 ???? ?????:
??????:
   • play.jav**********.com:1863 (UDP)
   • play.jav**********.com:7196 (TCP)
   • mails.joo**********.com:8800 (TCP)
   • tf122.tef**********.com:8800 (TCP)
   • t173.tef**********.com:8800 (TCP)
   • tf130.tef**********.com:8800 (TCP)
   • tf98.tef**********.com:8800 (TCP)
   • tf50.tef**********.com:8800 (TCP)
   • tf18.tef**********.com:8800 (TCP)
   • mix.tef**********.com:8800 (TCP)
   • peas.com**********.org:8800 (TCP)
   • 66.7.22**********.28:8800 (TCP)


 ?? ??????????:

?????????:
   • Mozilla Firefox
   • Internet Explorer

 ???? ???????????????????

    ???:
   • explorer.exe


 ?? Mutex:
?????? Mutex:
   • fwghw
   • psyjo
   • f7bd
   • fewhx
   • sewwwefwef
   • mdge
   • ihoj133
   • fedfw
   • omdgv
   • jhg28gdhrg2fcs
   • dwcfewf
   • g37v

 ?????? ????:
????????? MS Visual C++ ????


???????:
???????????????????????????????

설명 삽입자 Petre Galan   2011년 4월 20일 수요일
설명 업데이트 Petre Galan   2011년 4월 20일 수요일

뒤로 . . . .
https:// 이 창은 보안을 위해 암호화되었습니다.