Full description

Vírus	Worm/Palevo.IJ
Data em que surgiu:	06/12/2010
Tipo:	Worm
Incluído na lista "In The Wild"	Sim
Nível de danos:	De baixo a médio
Nível de distribuição:	Baixo
Nível de risco:	De baixo a médio
Ficheiro estático:	Sim
Tamanho:	94.208 Bytes
MD5 checksum:	89f691b9ed6d68d3cb69c24f7f9c840e
Versão VDF:	7.10.06.206
Versão IVDF:	7.10.14.194 - segunda-feira, 6 de dezembro de 2010

Vulgarmente Alias:
   • Kaspersky: Trojan.Win32.Pincav.amvq
   • F-Secure: Trojan.Generic.KDV.79489
   • Sophos: Mal/Palevo-A
   • Bitdefender: Trojan.Generic.KDV.79489
   • GData: Trojan.Generic.KDV.79489

Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

Ficheiros Autocopia-se para a seguinte localização:
   • %HOME%\Application Data\ltzqai.exe

São criados os seguintes ficheiros:

– %lixeira%\%CLSID%\Desktop.ini
– %TEMPDIR%\0753.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.11

– %lixeira%\%CLSID%\dfe.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/BadHubby.F

– %lixeira%\%CLSID%\jwjqa.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.16

– %lixeira%\%CLSID%\ju7bd.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.8

– %lixeira%\%CLSID%\psyjo3.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.10

– %TEMPDIR%\1074355.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.12

– %lixeira%\%CLSID%\games.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.14

– %TEMPDIR%\8453.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.15

– %lixeira%\%CLSID%\system.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.7

– %TEMPDIR%\1947512.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.13

– %TEMPDIR%\30122.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.10

– %TEMPDIR%\3989.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.14

– %lixeira%\%CLSID%\jwkd.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.12

– %TEMPDIR%\1441578.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.16

– %lixeira%\%CLSID%\lsq.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.11

– %TEMPDIR%\710.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.7

– %lixeira%\%CLSID%\lsvb.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.13

– %lixeira%\%CLSID%\jikd.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.15

– %TEMPDIR%\13330.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/BadHubby.F

– %TEMPDIR%\3597.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Hamweq.DD.8

Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://two.natnatraoi.com/**********

– A partir da seguinte localização:
   • http://two.natnatraoi.com/**********

– A partir da seguinte localização:
   • http://two.natnatraoi.com/**********

– A partir da seguinte localização:
   • http://two.natnatraoi.com/**********

– A partir da seguinte localização:
   • http://two.natnatraoi.com/**********

– A partir da seguinte localização:
   • http://two.natnatraoi.com/**********

– A partir da seguinte localização:
   • http://two.natnatraoi.com/**********

– A partir da seguinte localização:
   • http://two.natnatraoi.com/**********

– A partir da seguinte localização:
   • http://two.natnatraoi.com/**********

– A partir da seguinte localização:
   • http://two.natnatraoi.com/**********

Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\1074355.exe

– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\1947512.exe

– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\30122.exe

– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\3597.exe

– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\710.exe

– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\1441578.exe

– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\3989.exe

– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\0753.exe

– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\8453.exe

– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\13330.exe

Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%HOME%\Application Data\ltzqai.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Fgfk"="%lixeira%\%CLSID%\lsq.exe"
   • "Fnfx"="%lixeira%\%CLSID%\dfe.exe"
   • "Fvbk"="%lixeira%\%CLSID%\lsvb.exe"
   • "Teswf"="%lixeira%\%CLSID%\system.exe"
   • "games"="%lixeira%\%CLSID%\games.exe"
   • "jaqq"="%lixeira%\%CLSID%\jwkd.exe"
   • "jkqq"="%lixeira%\%CLSID%\jikd.exe"
   • "ju7bd"="%lixeira%\%CLSID%\ju7bd.exe"
   • "psysjo3"="%lixeira%\%CLSID%\psyjo3.exe"
   • "sdjwe"="%lixeira%\%CLSID%\jwjqa.exe"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="%lixeira%\%CLSID%\dfe.exe,%lixeira%\%CLSID%\games.exe,%lixeira%\S-1-5-21-0243556031-888888379-781863308-8763\lsq.exe,%lixeira%\S-1-5-21-0243556031-888888379-781863308-9143\jikd.exe,%lixeira%\S-1-5-21-0243556031-888888379-781863308-1343\jwjqa.exe,%lixeira%\S-1-5-21-0243556031-888888379-781863308-2734\ju7bd.exe,%lixeira%\S-1-5-21-0243556031-888888379-781863308-1457\system.exe,%lixeira%\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe,%HOME%\Application Data\ltzqai.exe,%lixeira%\S-1-5-21-0243556031-888888379-781863308-9043\jwkd.exe,explorer.exe,%lixeira%\S-1-5-21-0243556031-888888379-781863308-8333\lsvb.exe"

Backdoor Contacta o servidor:
Seguinte:
• ff.fjp**********.com:9955 (UDP)

Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa remota num processo.

Nome do processo:
• explorer.exe

Informações diversas Mutex:
Cria os seguintes Mutexes:
   • fwghw
   • psyjo
   • games
   • f7bd
   • mdge
   • sewwwefwef
   • omdgv
   • dwcfewf
   • nbev+32
   • fewhx
   • fedfw

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em terça-feira, 14 de junho de 2011
Descrição atualizada por Petre Galan em terça-feira, 14 de junho de 2011

Voltar . . . .

Produtos em destaque

Mais produtos

Produtos mais populares

Todos os produtos

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas

Produtos em destaque

Mais produtos

Produtos mais populares

Todos os produtos

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas