RSS-каналы
Уровень опасности: 1
P2P-Worm.Win32.Palevo.aomy
| Время детектирования | 12 июл 2010 18:04 MSK |
| Время выпуска обновления | 13 июл 2010 01:33 MSK |
| Описание опубликовано | 05 окт 2010 15:57 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру, использует для распространения каталоги обмена файлами P2P-сетей. Является приложением Windows (PE-EXE файл). Имеет размер 104448 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 108 КБ. Написана на C++.
Инсталляция
Создает копию своего файла в следующем каталоге
%AppData%\iptyr.exe
Данному файлу устанавливает атрибут "скрытый".
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman" = "%AppData%\iptyr.exe"
Деструктивная активность
Для имитации легитимности файл троянца содержит ложную информацию о файле:
Троянец выполняет внедрение вредоносного кода в процесс с именем "explorer.exe" после чего завершает свое выполнение.
- Создает копии тела червя на всех доступных на запись сетевых и съемных дисках под именем "kromirani.exe":
<X>:\dupler\kromirani.exe
Где <X> - буква сетевого или съемного диска. При этом каталогу с копией червя устанавливает атрибут "скрытый". Также помещает в корень диска сопровождающий файл:<X>:\autorun.inf
который запускает исполняемый файл копии червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". - Добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman" = "%AppData%\iptyr.exe"
- Реализует функционал бэкдора. Для этого соединяется с удаленными хостами:
prc***aonica.com kre***potice.ru som***sting.net 84.***.194
Вредоносный код, внедренный в процесс выполняет следующие действия:
Червь способен по команде злоумышленника осуществлять загрузку файлов на зараженный компьютер. Загруженные файлы сохраняются во временном каталоге пользователя под случайными именем:
%Temp%\<rnd2>.exe
Где <rnd2> - случайное число.
Имеет возможность сохранять загруженные файлы с именами "Crack.exe" и "Keygen.exe" в каталоги обмена файлами P2P-сетей, которые расположены на локальной машине, а также в каталог:
%ALLUSERSPROFILE%\Local Settings\Application Data\Ares\My Shared Folder
каталоги обмена файлами P2P-сетей получает, анализируя параметры ключей системного реестра:
[HKCU\Software\BearShare\General] [HKCU\Software\iMesh\General] [HKCU\Software\Shareaza\Shareaza\Downloads] [HKCU\Software\Kazaa\LocalContent] [HKCU\Software\DC++] [HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\eMule Plus_is1]
По команде злоумышленника также возможна подмена файла "hosts":
%System%\etc\hosts
Также имеет возможность осуществлять DoS-атаку на указанный злоумышленником сервер.
На момент создания описания троянец загружал свои обновленные версии по следующему URL:
http://188.***.244/bojim/529.exe
-
Отправляет на адрес злоумышленника имена Интернет ресурсов и сохраненные пароли к ним, если пользователь использовал следующие браузеры:
Mozilla Firefox Internet Explorer Opera
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- При помощи ( "Диспетчера задач") завершить процесс:
explorer.exe
- Удалить файлы:
%AppData%\iptyr.exe <X>:\dupler\kromirani.exe <X>:\autorun.inf
- Удалить файлы из временного каталога текущего пользователя Windows по следующей маске:
%Temp%\<rnd2>.exe
Где- случайное число. - Удалить патаметр ключа системного реестра (системного реестра):
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman" = "%AppData%\iptyr.exe"
- При необходимости восстановить содержимое файла:
%System%\etc\hosts
на следующее:127.0.0.1 localhost
- Очистить каталог (%Temporary Internet Files%):
%Temporary Internet Files%
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
- Удалить патаметр ключа системного реестра (системного реестра):
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам файлообменных пиринговых сетей (например, Kazaa, Grokster, eDonkey, FastTrack, Gnutella и др.).
Механизм работы большинства подобных червей достаточно прост — для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя — при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.
Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно — при этом червь предлагает для скачивания свою копию.
P2P-Worm.
- Trojan:
W32/Rimecud. gen. e (McAfee) - Mal/Palevo-A (Sophos)
- Trojan:
Win32/Malagent (MS(OneCare)) - Trojan.
Packed. 20312 (DrWeb) - Win32/Kryptik.
FCX trojan (Nod32) - Gen:
Variant. Kazy. 1978 (BitDef7) - Worm.
P2P. Palevo. Gen. 9 (VirusBuster) - Win32:
MalOb-DW [Cryp] (AVAST) - P2P-Worm.
Win32. Palevo (Ikarus) - TR/Crypt.
XPACK. Gen2 (AVIRA) - Trojan.
Gen (NAV) - W32/Suspicious_Gen2.
BUTRZ (Norman) - P2P-Worm.
Win32. Palevo. aomy [AVP] (FSecure) - Mal_Palevo5 (TrendMicro)
- Worm.
P2P. Palevo. Gen. 9 (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей