Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:WORM/Palevo.abc
Обнаружен:19/08/2011
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От среднего до высокого
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:266.240 байт.
Контрольная сумма MD5:38771EBCABCBE8BEA7D00D2E8232BAC7
Версия VDF:7.11.13.154 - пятница, 19 августа 2011 г.
Версия IVDF:7.11.13.154 - пятница, 19 августа 2011 г.

 Общее Методы распространения:
   • Функция автозапуска
   • Messenger


Псевдонимы (аliases):
   •  Kaspersky: Trojan.Win32.VBKrypt.fbnw
   •  Microsoft: Worm:Win32/Dorkbot.I
   •  AhnLab: Trojan/Win32.VBKrypt


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Последствия:
   • Создает файлы
   • Изменение реестра

 Файлы Создается собственная копия:
   • %APPDATA%\%случайная буквенная комбинация%.exe



Выполненная копия программы удаляется.

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%случайная буквенная комбинация%"="%APPDATA%\%случайная буквенная комбинация%.exe"

 Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– Windows Live Messenger

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: **********hmoney.biz
Порт: 4042
Имя: %случайная буквенная комбинация%

Сервер: **********therebitch.com
Порт: 4042
Имя: %случайная буквенная комбинация%



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Имя пользователя
    • Информация об операционной системе Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • разорвать соединение с IRC сервером
    • Войти в чат-комнату IRC
    • Покинуть чат-комнату IRC
    • Произвести DDoS атаку

 Инфицирование – Включает себя в процессы в качестве удаленного потока.

    Имя процесса:
   • %случайный процесс%


 Разное Антиотладка
Проверка отладчика и виртуальной машины с помощью приемов, использующих привязку по времени.

 Данные файла Язык программирования:
Программа была написана на Visual Basic.

Описание добавил Andrei Ilie в(о) среда, 26 октября 2011 г.
Описание обновил Andrei Ilie в(о) понедельник, 31 октября 2011 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.