VírusWorm/Agent.W.45
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:89.600 Bytes
MD5 checksum:13220535a6b7f53cd2bf352c8445fd3a
Versão VDF:7.01.01.225
Versão IVDF:7.01.01.237 - sexta-feira, 6 de fevereiro de 2009

 Vulgarmente Alias:
   •  Kaspersky: P2P-Worm.Win32.Palevo.asy
   •  Sophos: Mal/Autorun-E
   •  Bitdefender: Trojan.Downloader.Injecter.B


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • C:\RECYCLER\S-1-5-21-8749679017-0950430147-468708784-3200\hlpsvc.exe



É criado o seguinte ficheiro:

– C:\RECYCLER\S-1-5-21-8749679017-0950430147-468708784-3200\Desktop.ini É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • [.ShellClassInfo]
     CLSID={645FF040-5081-101B-9F08-00AA002F954E}

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Help and Support"="C:\RECYCLER\S-1-5-21-8749679017-0950430147-468708784-3200\hlpsvc.exe"

 Backdoor Contacta o servidor:
Seguintes:
   • 0xdeadbeef.cn:37454
   • hitmen.it:37454
   • not.malware.lv:37454

Como resultado é dada capacidade de controlo remoto.

 Introdução de código viral noutros processos – Introduz-se a si próprio num processo.

    Nome do processo:
   • explorer.exe


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Irina Diaconescu em segunda-feira, 2 de março de 2009
Descrição atualizada por Irina Diaconescu em segunda-feira, 2 de março de 2009

Voltar . . . .