Имя:Worm/Palevo.nfn
Обнаружен:28/12/2009
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:138.752 байт.
Контрольная сумма MD5:c815412b85179aeec5a62d6b7ad19e60
Версия IVDF:7.10.02.77 - понедельник, 28 декабря 2009 г.

 Общее Псевдонимы (аliases):
   •  Mcafee: W32/Palevo
   •  Panda: W32/Slenfbot.AE
   •  Eset: Win32/AutoRun.IRCBot.DZ
   •  Bitdefender: Trojan.Generic.IS.420679


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Создает вредоносные файлы
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\wmisfrh.exe




Попытка загрузки следующего файла:

– Следующий URL:
   • http://1.img-myspace.info/net/**********

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ctfmon.exe"="ctfmon.exe"



Создание следующих элементов для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\wmisfrh.exe"="%SYSDIR%\wmisfrh.exe:*:Enabled:UPnP Firewall"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\DomainProfile\AuthorizedApplications\List]
   • "%SYSDIR%\wmisfrh.exe"="%SYSDIR%\wmisfrh.exe:*:Enabled:UPnP Firewall"



Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ctfmon.exe]
   • "Debugger"="wmisfrh.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\
   Layers]
   • "%SYSDIR%\wmisfrh.exe"=""



Изменяются следующие ключи реестра:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
   Новое значение:
   • "ctfmon.exe"="ctfmon.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
   Новое значение:
   • "ctfmon.exe"="ctfmon.exe"

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: tealc.dw**********.info
Порт: 35920
Пароль сервера: su1c1d3
Канал: #net
Имя: USA|V3H|0|XP|%Число%

 Инфицирование – Вставляется в процесс в качестве программного потока.

    Имя процесса:
   • explorer.exe


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) среда, 17 марта 2010 г.
Описание обновил Petre Galan в(о) среда, 17 марта 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.