病毒:Worm/Palevo.ntf.4
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度至中程度
感染/传播能力:低程度至中程度
破坏 / 损害程度:低程度至中程度
静态文件:
文件大小:207.872 字节
MD5 校检和:d4689ed810452de9c0fe6f3ea6b25b7b
VDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe
IVDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe

 况概描述 传播方法:
   • 电子邮件


别名:
   •  Panda: Bck/IRCbot.CTX
   •  Eset: Win32/SpamTool.Tedroo.AL
   •  Bitdefender: Worm.Generic.220500


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 下载恶意文件
   • 植入恶意文件
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %SYSDIR%\msvmcls64.exe




它会尝试下载一些文件:

– 该位置如下所示:
   • http://sec8.helohmar.com/spm/**********?id=%数字%&tick=%数字%&ver=%数字%&smtp=%字符串%


– 该位置如下所示:
   • http://sec8.helohmar.com/spm/**********?task=%数字%&id=%字符串%

 注册表 会添加以下某个注册值,以便在重新引导后运行进程:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "MS Virtual CLS"="%SYSDIR%\msvmcls64.exe"



会添加以下注册表项目注册值:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS]
   • "host" = "%character string"
   • "id" = "%字符串%"
   • "ii" = "%数字%"

 电子邮件 它包含集成的 SMTP 引擎,用于发送电子邮件。 将与目标服务器建立直接连接。 下面说明了它的特征:


发件人:
发件地址是仿冒的。


收件人:
– 在系统上的特定文件中找到的电子邮件地址。


正文:
– 包含 HTML 代码。

该附件是恶意软件本身的副本。

 邮件 MX 服务器:
它能够访问以下某台 MX 服务器:
   • hotmail.com
   • yahoo.com
   • aol.com
   • google.com
   • mail.com

 文件详细信息 运行时压缩程序:
为了提高检测难度以及减小文件,它已使用运行时压缩程序进行压缩。

Description inserted by Petre Galan on 8 Nisan 2010 Perşembe
Description updated by Petre Galan on 8 Nisan 2010 Perşembe

Geri . . . .

© 2013 Avira Operations GmbH & Co. KG. Her hakkı saklıdır.

Hesabım

https:// Bu pencere güvenlik amacıyla şifrelenmiştir.