RSS-каналы
Уровень опасности: 1
P2P-Worm.Win32.Palevo.awgk
| Время детектирования | 30 сен 2010 18:36 MSK |
| Время выпуска обновления | 01 окт 2010 11:50 MSK |
| Описание опубликовано | 27 дек 2010 18:09 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Червь с функционалом троянской программы, предоставляющий злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 136704 байта. Упакована неизвестным упаковщиком. Распакованный размер - около 98 КБ. Написана на C++.
Деструктивная активность
После запуска червь внедряет вредоносный код в адресное пространство процесса с классом окна "Progman" (таким образом червь ищет процесс "еxplorer.exe"), после этого завершает свое выполнение.
Внедренный вредоносный код создает уникальный идентификатор для контроля уникальности своего процесса в системе:
pxT=+10После этого создает копию тела червя с именем "rmhzb.exe":
%AppData%\rmhzb.exeДанному файлу устанавливает атрибуты "скрытый" и "системный".
Добавляет ссылку в ключ автозапуска системного реестра, что приводит к автоматическому запуску копии червя при каждом следующем старте системы:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman" = "%AppData%\rmhzb.exe"Если тело червя находилось на съемном диске, тогда он открывает корневой каталог данного диска при помощи программы "Проводник". Далее реализует функционал бэкдора. Для этого соединяется с удаленными хостами:
jebe***kolic.su pee***sarske.ru tes***carke.com juic***bracala.org 92.***.237Таким образом получает возможность получать команды от злоумышленника и вредоносные файлы в зашифрованном виде.
После установки соединения по команде злоумышленника способен выполнять следующий функционал:
- Загружать и запускать на исполнение файлы, которые сохраняются во временном каталоге пользователя под случайными именем:
%Temp%\
Где.exe - случайное число, например, "3162". При этом если доступна обновленная версия вредоноса, тогда червь загружает ее, удаляет копию своего файла:
%AppData%\rmhzb.exe
удаляет ключ автозапуска:[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman" = "%AppData%\rmhzb.exe"
А после этого запускает на исполнение свою загруженную обновленную версию.- Получать ссылки для загрузки других исполняемых файлов, которые также сохраняются во временном каталоге пользователя под случайными именем:
%Temp%\
После успешной загрузки файлы запускаются на исполнение..exe - Создавать копии тела червя на всех доступных на запись сетевых и съемных дисках с именем "izcipica.exe":
Где:\izcipica.exe - буква сетевого или съемного диска. При этом помещает в корень диска сопровождающий файл:
который запускает исполняемый файл копии червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".:\autorun.inf - Устанавливать или похищать coockie для браузера "Mozilla Firefox".
- Отслеживать поисковые запросы пользователя для следующих браузеров:
Mozilla Firefox Microsoft Internet Explorer Windows Internet Explorer Opera Google Chrome
- Получать ссылки для загрузки других исполняемых файлов, которые также сохраняются во временном каталоге пользователя под случайными именем:
На момент создания описания получал команду загрузки и запуска на исполнение своей обновленной версии по следующему URL:
http://188.***.178/zmajovina/osamnest774.exeДанный файл имеет размер байт и детектируется антивирусом Касперского как P2P-Worm.Win32.Palevo.bjiy.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- При помощи Диспетчера задач завершить процесс:
explorer.exe
- Удалить файлы:
%AppData%\rmhzb.exe
:\izcipica.exe :\autorun.inf - Удалить файлы из временного каталога текущего пользователя Windows по следующей маске:
%Temp%\
Где.exe - случайное число. - Удалить патаметр ключа системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman" = "%AppData%\rmhzb.exe"
- Очистить каталог Temporary Internet Files:
%Temporary Internet Files%
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
- Удалить патаметр ключа системного реестра:
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам файлообменных пиринговых сетей (например, Kazaa, Grokster, eDonkey, FastTrack, Gnutella и др.).
Механизм работы большинства подобных червей достаточно прост — для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя — при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.
Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно — при этом червь предлагает для скачивания свою копию.
P2P-Worm.
- Trojan:
W32/Rimecud. gen. e (McAfee) - Mal/Palevo-A (Sophos)
- Trojan:
Win32/Rimecud. A (MS(OneCare)) - Win32/Bflient.
P worm (Nod32) - Gen:
Variant. Kazy. 788 (BitDef7) - Worm.
P2P. Palevo. YUL (VirusBuster) - Win32:
Malware-gen (AVAST) - P2P-Worm.
Win32. Palevo (Ikarus) - Generic19.
BYVX (AVG) - W32.
Pilleuz!gen12 (NAV) - W32/Suspicious_Gen2.
ELTHP (Norman) - Trojan.
Win32. Generic. 5242A221 (Rising) - P2P-Worm.
Win32. Palevo. awgk [AVP] (FSecure) - Worm.
P2P. Palevo!wgfqvu42QfY (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей