Full description

Vírus	Worm/Palevo.ER
Data em que surgiu:	28/05/2009
Tipo:	Worm
Incluído na lista "In The Wild"	Sim
Nível de danos:	De baixo a médio
Nível de distribuição:	De baixo a médio
Nível de risco:	De baixo a médio
Ficheiro estático:	Sim
Tamanho:	103.426 Bytes
MD5 checksum:	efb79707d37652ce1ffe296d77e55277
Versão IVDF:	7.01.04.30 - quinta-feira, 28 de maio de 2009

Vulgarmente Meio de transmissão:
   • Messenger

Alias:
   • Bitdefender: Worm.P2P.Palevo.ER
   • Panda: Trj/Agent.NWH
   • Eset: IRC/SdBot

Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Baixa as definições de segurança
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\infocard.exe
   • %WINDIR%\infocard.exb

Apaga a cópia executada inicialmente.

Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://browseusers.myspace.com/Browse/**********

– A partir da seguinte localização:
   • http://67.215.66.132/**********

Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • net stop MsMpSvc

– Executa um dos seguintes ficheiros:
   • net1 stop MsMpSvc

– Executa um dos seguintes ficheiros:
   • netsh firewall add allowedprogram 1.exe 1 ENABLE

– Executa um dos seguintes ficheiros:
   • "%WINDIR%\infocard.exe"

– Executa um dos seguintes ficheiros:
   • explorer.exe http://browseusers.myspace.com/Browse/Browse.aspx

– Executa um dos seguintes ficheiros:
   • %WINDIR%\infocard.exe

– Executa um dos seguintes ficheiros:
   • net stop wuauserv

– Executa um dos seguintes ficheiros:
   • net1 stop wuauserv

– Executa um dos seguintes ficheiros:
   • sc config wuauserv start= disabled

Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Firewall Administrating"="%WINDIR%\infocard.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Firewall Administrating"="%WINDIR%\infocard.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Firewall Administrating"="%WINDIR%\infocard.exe"

Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%ficheiro
      executado%"="%WINDIR%\infocard.exe:*:Enabled:Firewall
      Administrating"

Messenger Propaga-se através do Messenger. Tem as seguintes características:

– Yahoo Messenger

O URL aponta para uma cópia do malware descrito. Se o utilizador descarregar e executar este ficheiro terá início o processo de infecção do seu computador.

Backdoor É aberta a seguinte porta:

– url.dig**********.com numa porta TCP 1234

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

说明添加者： Petre Galan 打开 2010年9月15日星期三
说明更新者： Petre Galan 打开 2010年9月15日星期三

反馈 . . . .

需要修复电脑？

我的帐户