Полное описание

Имя:	Worm/Palevo.akyt
Обнаружен:	07/06/2010
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	От низкого до среднего
Потенциал распространения:	Средний
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	139.264 байт.
Контрольная сумма MD5:	c53c255dbf0f13b6f389e2b0f7b2bad7
Версия IVDF:	7.10.08.03 - понедельник, 7 июня 2010 г.

Общее Методы распространения:
   • Функция автозапуска
   • Messenger
   • Одноранговая сеть

Псевдонимы (аliases):
   • Sophos: Mal/Agent-BH
   • Bitdefender: Worm.Generic.251799
   • Panda: W32/P2Pworm.FW
   • Eset: Win32/Peerfrag.FD

Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Загружает вредоносные файлы
   • Создает вредоносные файлы
   • Изменение реестра

Файлы Создаются собственные копии:
   • %корзина%\%CLSID%\syscr.exe
   • %Диск%\RECYCLERW\autorun.exe

Создаются следующие файлы:

– %корзина%\%CLSID%\Desktop.ini
– %Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

– %TEMPDIR%\203.exe
– %SYSDIR%\msvmiode.exe
– %temporary internet files%\xbf[1].exe
– %TEMPDIR%\37843.exe
– %HOME%\Application Data\ltzqai.exe
– %WINDIR%\cfdrive32.exe
– %TEMPDIR%\241.exe
– %temporary internet files%\c57[1].exe
– %temporary internet files%\lik[1].exe

Попытка загрузки следующих файлов:

– Следующие URL:
   • http://www.cooleasy.com/cgi-bin/**********
   • http://www.cship.info/cgi-bin/**********
   • http://obsoletegod.com/cgi-bin/**********
   • http://www.nippon.to/cgi-bin/**********

– Следующий URL:
   • http://www.mcreate.net/cgi-bin/envchk/**********

– Следующий URL:
   • http://208.53.183.124/**********

– Следующий URL:
   • http://74.63.78.56/**********

– Следующий URL:
   • http://www16.tok2.com/home/aquemai/cgi-bin/**********

– Следующий URL:
   • http://74.63.78.41/**********

– Следующий URL:
   • http://mobi-sys.ru/img/**********

– Следующий URL:
   • http://116.0.22.245/**********

– Следующий URL:
   • http://kuwago.hp.infoseek.co.jp/cgi-bin/nph/**********

Пытается запустить на выполнение следующие файлы:

– Имя файла:
   • %TEMPDIR%\203.exe

– Имя файла:
   • %TEMPDIR%\37843.exe

– Имя файла:
   • %TEMPDIR%\241.exe

– Имя файла:
   • "%SYSDIR%\msvmiode.exe"

– Имя файла:
   • "%WINDIR%\cfdrive32.exe"

Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%HOME%\Application Data\ltzqai.exe"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="explorer.exe,%HOME%\Application Data\ltzqai.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "MSODESNV7"="%SYSDIR%\msvmiode.exe"
   • "Microsoft Driver Setup"="%WINDIR%\cfdrive32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "Microsoft Driver Setup"="%WINDIR%\cfdrive32.exe"

Добавляется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup]
   • "host"="%строка символа%"
   • "id"="52285402295716605647943425331747"
   • "ridt100413"="1"

P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия:   Для определения стандартных папок для загрузки происходит обращение к реестру:
   • Software\BearShare\General
   • Software\iMesh\General
   • Software\Shareaza\Shareaza\Downloads
   • Software\Kazaa\LocalContent
   • Software\DC++
   • Software\eMule
   • Software\Microsoft\Windows\CurrentVersion\Uninstall\eMule Plus_is1

   Производится поиск содержащих следующую последовательность знаков папок
   • \Local Settings\Application Data\Ares\My Shared Folder

Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– Windows Live Messenger

URL ссылается на копию описанного вредоносного ПО. Процесс инфицирования повторяется каждый раз при запуске загруженного файла на компьютере пользователя.

Backdoor Открываются следующие порты:

– 212.95.**********.187 по UDP порту 1863
– 98.126.18**********.250 по UDP порту 9955

Инфицирование – Вставляется в процесс в качестве удаленного программного потока.

Имя процесса:
• explorer.exe

Данные файла Язык программирования:
Программа была написана на Visual Basic.

Описание добавил Petre Galan в(о) вторник, 7 сентября 2010 г.
Описание обновил Petre Galan в(о) вторник, 7 сентября 2010 г.

Назад . . . .

Популярная защита для домашних ПК

Бесплатные продукты

Наиболее популярные продукты

Все продукты

Пакетные решения

Рабочие станции

Server

Пакетные решения

Почтовые шлюзы

Сетевые шлюзы

Коллективные платформы

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты