Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Palevo.nfn
Data em que surgiu:28/12/2009
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:Baixo
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:138.752 Bytes
MD5 checksum:c815412b85179aeec5a62d6b7ad19e60
Verso IVDF:7.10.02.77 - segunda-feira, 28 de dezembro de 2009

 Vulgarmente Alias:
   •  Mcafee: W32/Palevo
   •  Panda: W32/Slenfbot.AE
   •  Eset: Win32/AutoRun.IRCBot.DZ
   •  Bitdefender: Trojan.Generic.IS.420679


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\wmisfrh.exe




Tenta efectuar o download do ficheiro:

A partir da seguinte localizao:
   • http://1.img-myspace.info/net/**********

 Registry (Registo do Windows) Um dos seguintes valores adicionado para executar o processo depois reinicializar:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ctfmon.exe"="ctfmon.exe"



Cria as seguintes entradas de forma a fazer um bypass firewall do Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\wmisfrh.exe"="%SYSDIR%\wmisfrh.exe:*:Enabled:UPnP Firewall"

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\DomainProfile\AuthorizedApplications\List]
   • "%SYSDIR%\wmisfrh.exe"="%SYSDIR%\wmisfrh.exe:*:Enabled:UPnP Firewall"



So adicionadas as seguintes chaves ao registo:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ctfmon.exe]
   • "Debugger"="wmisfrh.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\
   Layers]
   • "%SYSDIR%\wmisfrh.exe"=""



Altera as seguintes chaves de registo do Windows:

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
   Valor recente:
   • "ctfmon.exe"="ctfmon.exe"

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
   Valor recente:
   • "ctfmon.exe"="ctfmon.exe"

 IRC Para enviar informaes do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: tealc.dw**********.info
Porta: 35920
Palavra-chave do servidor: su1c1d3
Canal #net
Nickname: USA|V3H|0|XP|%nmero%

 Introduo de cdigo viral noutros processos – Introduz-se a si prprio como uma tarefa num processo.

    Nome do processo:
   • explorer.exe


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em quarta-feira, 17 de março de 2010
Descrição atualizada por Petre Galan em quarta-feira, 17 de março de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.