RSS-каналы
Уровень опасности: 1
P2P-Worm.Win32.Palevo.ipn
| Время детектирования | 21 июл 2009 17:02 MSK |
| Время выпуска обновления | 22 июл 2009 18:55 MSK |
| Описание опубликовано | 08 апр 2010 12:22 MSK |
Деструктивная активность
Технические детали
Вредоносная программа, осушествляюшая деструктивную деятельность на компьютере. Является исполняемым файлом Windows. Имеет размер 107520 байт. Написан на C++.
Инсталяция
Вредоносная программа копирует свое тело в следующий каталог:
C:\RECYCLER\S-1-5-21-%rnd%\sysdate.exe(rnd - случайное число), имя также может быть hd1.exe. Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
NT\CurrentVersion\Winlogon\
"Taskman" -> "C:\RECYCLER\S-1-5-21-%rnd%\sysdate.exe "
Распространение
- Зловред копирует себя на съемные носители под произвольными именами, и создает на них файл autorun.inf с помощью которго запускается зловред.
- Размножается используя известные P2P сети такие как BearShare, eMule, Kazaa, DC++, LimeWire и другие.
- Размножается используя MSN Messenger.
- Заражает компьютеры на которых установленны уязвимые версии VNC Server.
Деструктивная активность
Данный зловред собирает информацию об аккаунтах и паролях которые пользователь вводит на web страницах при использовании таких браузеров как Internet Explorer, Mozilla, Chrome и Opera.
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам файлообменных пиринговых сетей (например, Kazaa, Grokster, eDonkey, FastTrack, Gnutella и др.).
Механизм работы большинства подобных червей достаточно прост — для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя — при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.
Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно — при этом червь предлагает для скачивания свою копию.
P2P-Worm.
- Virus:
W32/Rimecud (McAfee) - W32/Autorun-AIC (Sophos)
- W32/Palevo.
B (FPROT) - Worm:
Win32/Rimecud. B (MS(OneCare)) - Win32.
HLLW. Lime. 3 (DrWeb) - Win32/Peerfrag.
BN worm (Nod32) - Worm.
P2P. Palevo. B (BitDef7) - Worm.
Palevo. Gen!Pac (VirusBuster) - Win32:
Rimecud [Trj] (AVAST) - P2P-Worm.
Win32. Palevo (Ikarus) - Worm/Generic.
ATCA (AVG) - W32.
SillyFDC (NAV) - NseCheckFile2() returned 0x00010018 (Norman)
- Worm.
Win32. Agent. avu (Rising) - Worm:
W32/Palevo. gen!A [FSE] (FSecure) - Worm.
Palevo. Gen!Pac (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей