Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→P2P-Worm.Win32.Palevo.awmu

P2P-Worm.Win32.Palevo.awmu

Время детектирования	04 окт 2010 18:01 MSK
Время выпуска обновления	07 окт 2010 09:45 MSK
Описание опубликовано	24 дек 2010 18:08 MSK

Экспертное описание Автоматическое описание

Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, содержащий в себе функционал троянской программы, предоставляющий злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 140288 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 98 КБ. Написана на C++.

Деструктивная активность

После запуска червь внедряет вредоносный код в адресное пространство процесса с классом окна "Progman" (таким образом червь ищет процесс "еxplorer.exe"), после этого завершает свое выполнение.

Внедренный вредоносный код создает уникальный идентификатор для контроля уникальности своего процесса в системе:

pxT=+10

После этого создает копию тела червя с именем "rmhzb.exe":

%AppData%\rmhzb.exe

Данному файлу устанавливает атрибуты "скрытый" и "системный". Добавляет ссылку на копию червя в ключ автозапуска системного реестра, что приводит к автоматическому запуску копии червя при каждом следующем старте системы:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman" = "%AppData%\rmhzb.exe"

Если тело червя находилось на съемном диске, тогда он открывает корневой каталог данного диска при помощи программы "Проводник". Далее реализует функционал бэкдора. Для этого соединяется с удаленными хостами:

jeb***ikolic.su
pee***osarske.ru
tes***arke.com
jui***acala.org
92.***.237

Таким образом получает возможность получать команды от злоумышленника и вредоносные файлы в зашифрованном виде.

После установки соединения по команде злоумышленника способен выполнять следующий функционал:

Загружать и запускать на исполнение файлы, которые сохраняются во временном каталоге пользователя под случайными именем:
```
%Temp%\<rnd2>.exe
```
Где <rnd2> - случайное число.
Создавать копии тела червя на всех доступных на запись сетевых и съемных дисках с именем "Aove.exe":
```
<X>:\Aove.exe
```
Где <X> - буква сетевого или съемного диска. Также помещает в корень диска сопровождающий файл:
```
<X>:\autorun.inf
```
который запускает исполняемый файл копии червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Устанавливать coockie для браузера "Mozilla Firefox".
Отслеживать поисковые запросы пользователя для следующих браузеров:
```
Mozilla Firefox
Microsoft Internet Explorer
Windows Internet Explorer
Opera
Google Chrome
```

Таким образом получает возможность подменять результаты поисковых запросов.

На момент создания описания получал команду загрузки и запуска на исполнение своей обновленной версии.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
При помощи Диспетчера задач завершить процесс:
```
explorer.exe
```

Удалить файлы:

%AppData%\rmhzb.exe
<X>:\Aove.exe
<X>:\autorun.inf

Удалить файлы из временного каталога текущего пользователя Windows по следующей маске:
```
%Temp%\<rnd2>.exe
```
Где <rnd2> - случайное число.
Удалить патаметр ключа системного реестра (системного реестра):
```
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman" = "%AppData%\rmhzb.exe"
```
Очистить каталог Temporary Internet Files:
```
%Temporary Internet Files%
```
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Вирусы и черви

P2P-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам файлообменных пиринговых сетей (например, Kazaa, Grokster, eDonkey, FastTrack, Gnutella и др.).

Механизм работы большинства подобных червей достаточно прост — для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя — при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.

Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно — при этом червь предлагает для скачивания свою копию.

Другие модификации

P2P-Worm.Win32.Palevo.a

P2P-Worm.Win32.Palevo.aomy

P2P-Worm.Win32.Palevo.arxz

P2P-Worm.Win32.Palevo.awbs

P2P-Worm.Win32.Palevo.awgk

P2P-Worm.Win32.Palevo.bpji

P2P-Worm.Win32.Palevo.brz

P2P-Worm.Win32.Palevo.fuc

P2P-Worm.Win32.Palevo.gul

P2P-Worm.Win32.Palevo.ipn

Другие названия

P2P-Worm.Win32.Palevo.awmu («Лаборатория Касперского») также известен как:

Trojan: W32/Rimecud.gen.e (McAfee)
Mal/Palevo-A (Sophos)
Generic Trojan (Panda)
Trojan:Win32/Rimecud.A (MS(OneCare))
Trojan.Packed.21005 (DrWeb)
Win32/Bflient.P worm (Nod32)
Gen:Variant.Kazy.788 (BitDef7)
Worm.P2P.Palevo!KAX1MRRFcgc (VirusBuster)
Win32:Rootkit-gen [Rtk] (AVAST)
P2P-Worm.Win32.Palevo (Ikarus)
Cryptic.BEV (AVG)
W32.Pilleuz!gen12 (NAV)
W32/Suspicious_Gen2.EKRYF (Norman)
Trojan.Win32.Generic.5240706C (Rising)
P2P-Worm.Win32.Palevo.awmu [AVP] (FSecure)
Worm.P2P.Palevo!KAX1MRRFcgc (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей