Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Palevo.110594
Data em que surgiu:21/06/2010
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:Baixo
Nvel de risco:De baixo a mdio
Ficheiro esttico:Sim
Tamanho:110.594 Bytes
MD5 checksum:673da79373984cff308a9c23380f9183
Verso IVDF:7.10.08.131 - segunda-feira, 21 de junho de 2010

 Vulgarmente Alias:
   •  Sophos: W32/Palevo-Z
   •  Bitdefender: Rootkit.37359
   •  Panda: W32/P2PWorm.NW
   •  Eset: Win32/AutoRun.AEN


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localizao:
   • %HOME%\Application Data\yaptm.exe



Apaga a cpia executada inicialmente.



So criados os seguintes ficheiros:

%temporary internet files%\g2g2_net[1].htm um ficheiro de texto no malicioso com o seguinte contedo:
   • %cdigo que executa malware%

%TEMPDIR%\240021.exe
%temporary internet files%\out[1].exe



Tenta efectuar o download de alguns ficheiros:

A partir da seguinte localizao:
   • http://www.g2g**********.net/


A partir da seguinte localizao:
   • http://soufibilal.org/**********




Tenta executar o seguinte ficheiro:

Executa um dos seguintes ficheiros:
   • "%PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE" -nohome


Executa um dos seguintes ficheiros:
   • C:\Temp\240021.exe

 Registry (Registo do Windows) Os valores da seguinte chave Registo so eliminados:



Os valores das seguintes chaves registo do windows so eliminados:

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Taskman



O seguinte valor do registo alterado:

[HKLM\SOFTWARE\Classes\TypeLib\
   {1EA4DBF0-3C3B-11CF-810C-00AA00389B71}\1.1\0\win32]
   Valor recente:
   • "@"="oleacc.dll"

 Backdoor So abertas as seguintes portas:

sam.cha**********.com numa porta UDP 1293
cha**********.com numa porta UDP 1293
jus**********.com numa porta UDP 1293

 Introduo de cdigo viral noutros processos Introduz-se a si prprio como uma tarefa remota num processo.

    Nome do processo:
   • explorer.exe


 Informaes diversas Mutex:
Cria o seguinte Mutex:
   • TgeI+21

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em quarta-feira, 20 de outubro de 2010
Descrição atualizada por Petre Galan em quarta-feira, 20 de outubro de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.