RSS-каналы
Уровень опасности: 1
P2P-Worm.Win32.Palevo.arxz
| Время детектирования | 03 авг 2010 14:29 MSK |
| Время выпуска обновления | 04 авг 2010 23:22 MSK |
| Описание опубликовано | 26 окт 2010 13:41 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру, использует для распространения каталоги обмена файлами P2P-сетей. Является приложением Windows (PE-EXE файл). Имеет размер 150016 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 89 КБ. Написана на C++.
Инсталляция
Создает копию своего файла в следующем каталоге:
%AppData%\qvcxxb.exeДанному файлу устанавливает атрибуты "скрытый" и "системный".
Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman" = "%AppData%\qvcxxb.exe"
Деструктивная активность
Для имитации легитимности файл червя содержит ложную информацию о файле:
Червь определяет процесс соответствующий окну с классом "Progman" (таким образом вредонос находит процесс "explorer.exe") и внедряет в него вредоносный код, после этого завершает свое выполнение. Вредоносный код, внедренный в процесс, выполняет вышеописанную инсталляцию, а также реализует функционал бэкдора. Для этого соединяется с удаленными хостами:
prcoli***nica.com krete***epotice.ru somb***osting.net 84.***.194 dz***tarts.comПо команде злоумышленника червь может осуществлять следующие действия:
- Загрузку и запуск на исполнение файлов на зараженный компьютер. Загруженные файлы сохраняются во временном каталоге пользователя под случайными именем:
%Temp%\<rnd>.exe
Где <rnd> - случайное число.Имеет возможность сохранять загруженные файлы с именами "Crack.exe" и "Keygen.exe" в каталоги обмена файлами P2P-сетей, которые расположены на локальной машине, а также в каталог:
%ALLUSERSPROFILE%\Local Settings\Application Data\ Ares\My Shared Folder
каталоги обмена файлами P2P-сетей получает, анализируя параметры ключей системного реестра:[HKCU\Software\BearShare\General] [HKCU\Software\iMesh\General] [HKCU\Software\Shareaza\Shareaza\Downloads] [HKCU\Software\Kazaa\LocalContent] [HKCU\Software\DC++] [HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\eMule Plus_is1]
- Изменять содержимое файла "hosts":
%System%\etc\hosts
Таким образом способен блокировать доступ к Интернет ресурсам, посещаемых пользователем, или перенаправлять пользователя на другие ресурсы. - Осуществлять DoS-атаку на указанный злоумышленником сервер.
- Создавать копии тела червя на всех доступных на запись сетевых и съемных дисках.
В корень диска при этом помещает сопровождающий файл:
<X>:\autorun.inf
Где <X> - буква сетевого или съемного диска. При этом копии червя устанавливает атрибуты "скрытый" и "системный".Этот файл запускает исполняемый файл копии червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
- Отправлять на адрес злоумышленника имена Интернет ресурсов и сохраненные пароли к ним, если пользователь использовал следующие браузеры:
Mozilla Firefox Internet Explorer Opera
На момент создания описания червь загружал, после чего запускал на исполнение свою обновленную версию со следующего URL:http://188.***.27/jebacina/418.exe
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- При помощи Диспетчера задач завершить процесс:
explorer.exe
- Удалить файл:
%AppData%\qvcxxb.exe
Если червь успел загрузить свою обновленную версию, тогда необходимо удалить файл по следующей маске:%AppData%\<rnd2>.exe
Где <rnd2> - случайный набор латинских букв. - Удалить файлы из временного каталога текущего пользователя Windows по следующей маске:
%Temp%\<rnd>.exe
Где <rnd> - случайное число. - Удалить патаметр ключа системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman" =
- При необходимости восстановить содержимое файла:
%System%\etc\hosts
на следующее:127.0.0.1 localhost
- Очистить каталог Temporary Internet Files:
%Temporary Internet Files%
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам файлообменных пиринговых сетей (например, Kazaa, Grokster, eDonkey, FastTrack, Gnutella и др.).
Механизм работы большинства подобных червей достаточно прост — для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя — при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.
Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно — при этом червь предлагает для скачивания свою копию.
P2P-Worm.
- Trojan:
W32/Rimecud. gen. e (McAfee) - Mal/Palevo-A (Sophos)
- Generic Trojan (Panda)
- Trojan:
Win32/Rimecud. A (MS(OneCare)) - Trojan.
Packed. 20312 (DrWeb) - Win32/Kryptik.
FRV trojan (Nod32) - Gen:
Variant. Kazy. 200 (BitDef7) - Worm.
Palevo. Gen!Pac. 7 (VirusBuster) - Win32:
MalOb-DW [Cryp] (AVAST) - P2P-Worm.
Win32. Palevo (Ikarus) - W32.
Pilleuz!gen8 (NAV) - NseCheckFile2() returned 0x00010018 (Norman)
- Trojan-Dropper:
W32/Agent. DQKK [FSE] (FSecure) - Mal_Palevo5 (TrendMicro)
- Worm.
Palevo. Gen!Pac. 7 (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей