VírusWorm/Palevo.nfn
Data em que surgiu:28/12/2009
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:138.752 Bytes
MD5 checksum:c815412b85179aeec5a62d6b7ad19e60
Versão IVDF:7.10.02.77 - segunda-feira, 28 de dezembro de 2009

 Vulgarmente Alias:
   •  Mcafee: W32/Palevo
   •  Panda: W32/Slenfbot.AE
   •  Eset: Win32/AutoRun.IRCBot.DZ
   •  Bitdefender: Trojan.Generic.IS.420679


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\wmisfrh.exe




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://1.img-myspace.info/net/**********

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ctfmon.exe"="ctfmon.exe"



Cria as seguintes entradas de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\wmisfrh.exe"="%SYSDIR%\wmisfrh.exe:*:Enabled:UPnP Firewall"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\DomainProfile\AuthorizedApplications\List]
   • "%SYSDIR%\wmisfrh.exe"="%SYSDIR%\wmisfrh.exe:*:Enabled:UPnP Firewall"



São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ctfmon.exe]
   • "Debugger"="wmisfrh.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\
   Layers]
   • "%SYSDIR%\wmisfrh.exe"=""



Altera as seguintes chaves de registo do Windows:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
   Valor recente:
   • "ctfmon.exe"="ctfmon.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
   Valor recente:
   • "ctfmon.exe"="ctfmon.exe"

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: tealc.dw**********.info
Porta: 35920
Palavra-chave do servidor: su1c1d3
Canal #net
Nickname: USA|V3H|0|XP|%número%

 Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa num processo.

    Nome do processo:
   • explorer.exe


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quarta-feira, 17 de março de 2010
Descrição atualizada por Petre Galan em quarta-feira, 17 de março de 2010

Voltar . . . .