Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Palevo.IJ
Data em que surgiu:06/12/2010
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:94.208 Bytes
MD5 checksum:89f691b9ed6d68d3cb69c24f7f9c840e
Versão VDF:7.10.06.206
Versão IVDF:7.10.14.194 - segunda-feira, 6 de dezembro de 2010

 Vulgarmente Alias:
   •  Kaspersky: Trojan.Win32.Pincav.amvq
   •  F-Secure: Trojan.Generic.KDV.79489
   •  Sophos: Mal/Palevo-A
   •  Bitdefender: Trojan.Generic.KDV.79489
   •  GData: Trojan.Generic.KDV.79489


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %HOME%\Application Data\ltzqai.exe



São criados os seguintes ficheiros:

%lixeira%\%CLSID%\Desktop.ini
%TEMPDIR%\0753.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.11

%lixeira%\%CLSID%\dfe.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/BadHubby.F

%lixeira%\%CLSID%\jwjqa.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.16

%lixeira%\%CLSID%\ju7bd.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.8

%lixeira%\%CLSID%\psyjo3.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.10

%TEMPDIR%\1074355.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.12

%lixeira%\%CLSID%\games.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.14

%TEMPDIR%\8453.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.15

%lixeira%\%CLSID%\system.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.7

%TEMPDIR%\1947512.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.13

%TEMPDIR%\30122.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.10

%TEMPDIR%\3989.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.14

%lixeira%\%CLSID%\jwkd.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.12

%TEMPDIR%\1441578.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.16

%lixeira%\%CLSID%\lsq.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.11

%TEMPDIR%\710.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.7

%lixeira%\%CLSID%\lsvb.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.13

%lixeira%\%CLSID%\jikd.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.15

%TEMPDIR%\13330.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/BadHubby.F

%TEMPDIR%\3597.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.8




Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://two.natnatraoi.com/**********


– A partir da seguinte localização:
   • http://two.natnatraoi.com/**********


– A partir da seguinte localização:
   • http://two.natnatraoi.com/**********


– A partir da seguinte localização:
   • http://two.natnatraoi.com/**********


– A partir da seguinte localização:
   • http://two.natnatraoi.com/**********


– A partir da seguinte localização:
   • http://two.natnatraoi.com/**********


– A partir da seguinte localização:
   • http://two.natnatraoi.com/**********


– A partir da seguinte localização:
   • http://two.natnatraoi.com/**********


– A partir da seguinte localização:
   • http://two.natnatraoi.com/**********


– A partir da seguinte localização:
   • http://two.natnatraoi.com/**********




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\1074355.exe


– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\1947512.exe


– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\30122.exe


– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\3597.exe


– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\710.exe


– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\1441578.exe


– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\3989.exe


– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\0753.exe


– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\8453.exe


– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\13330.exe

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%HOME%\Application Data\ltzqai.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Fgfk"="%lixeira%\%CLSID%\lsq.exe"
   • "Fnfx"="%lixeira%\%CLSID%\dfe.exe"
   • "Fvbk"="%lixeira%\%CLSID%\lsvb.exe"
   • "Teswf"="%lixeira%\%CLSID%\system.exe"
   • "games"="%lixeira%\%CLSID%\games.exe"
   • "jaqq"="%lixeira%\%CLSID%\jwkd.exe"
   • "jkqq"="%lixeira%\%CLSID%\jikd.exe"
   • "ju7bd"="%lixeira%\%CLSID%\ju7bd.exe"
   • "psysjo3"="%lixeira%\%CLSID%\psyjo3.exe"
   • "sdjwe"="%lixeira%\%CLSID%\jwjqa.exe"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="%lixeira%\%CLSID%\dfe.exe,%lixeira%\%CLSID%\games.exe,%lixeira%\S-1-5-21-0243556031-888888379-781863308-8763\lsq.exe,%lixeira%\S-1-5-21-0243556031-888888379-781863308-9143\jikd.exe,%lixeira%\S-1-5-21-0243556031-888888379-781863308-1343\jwjqa.exe,%lixeira%\S-1-5-21-0243556031-888888379-781863308-2734\ju7bd.exe,%lixeira%\S-1-5-21-0243556031-888888379-781863308-1457\system.exe,%lixeira%\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe,%HOME%\Application Data\ltzqai.exe,%lixeira%\S-1-5-21-0243556031-888888379-781863308-9043\jwkd.exe,explorer.exe,%lixeira%\S-1-5-21-0243556031-888888379-781863308-8333\lsvb.exe"

 Backdoor Contacta o servidor:
Seguinte:
   • ff.fjp**********.com:9955 (UDP)


 Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa remota num processo.

    Nome do processo:
   • explorer.exe


 Informações diversas Mutex:
Cria os seguintes Mutexes:
   • fwghw
   • psyjo
   • games
   • f7bd
   • mdge
   • sewwwefwef
   • omdgv
   • dwcfewf
   • nbev+32
   • fewhx
   • fedfw

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em terça-feira, 14 de junho de 2011
Descrição atualizada por Petre Galan em terça-feira, 14 de junho de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.