P2P-Worm.Win32.Palevo.a

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам файлообменных пиринговых сетей. Является приложением Windows (PE–EXE файл). Имеет размер 72704 байта. Написана на C++.

Инсталляция

После запуска червь копирует свое тело в следующий файл:

Для автоматического запуска червя при каждом следующем старте системы создается ключ системного реестра:

Червь копирует свое тело на все доступные для записи съемные диски, подключаемые к зараженному компьютеру. Копия червя создается под следующим именем:

<имя зараженного съемного диска>:\RECYCLER32\dmgr.exe

Вместе со своим исполняемым файлом червь помещает файл:

<имя зараженного съемного диска>:\autorun.inf

содержащий следующие строки:

[autorun]
open=RECYCLER32\dmgr.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER32\dmgr.exe
shell\open\default=1

Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный съемный диск при помощи программы "Проводник".

Созданные файлы имеют атрибут "скрытый" (hidden).

Деструктивная активность

После запуска червь создает уникальный идентификатор с именем:

sxofjiegt555

Также червь содержит функционал бэкдора. Вредоносная программа внедряет в адресное пространство процесса "EXPLORER.EXE" код, который выполняет следующие действия:

• соединяется с удаленным хостом:

  mix.***nadzz.info

• Отправляет на вышеупомянутый хост следующие данные:
  • имя компьютера;
  • имя текущего пользователя.
• Червь способен по команде злоумышленника осуществлять загрузку файлов на зараженный компьютер. Загруженные файлы сохраняются во временном каталоге пользователя как

  %Temp%\<rnd>.exe

  где <rnd> – случайное трехзначное десятичное число.
  
  Кроме того, червь может сохранять загруженные файлы в каталогах обмена файлами P2P-сетей. Пути к этим каталогам червь получает, считывая значения ключей, содержащихся в следующих ветвях системного реестра:

  [HKCU\Software\Kazaa\LocalContent]
  [HKCU\Software\Kazaa\LocalContent\DonwloadDir]
  [HKCU\Software\BearShare\General]
  [HKCU\Software\iMesh\General]
  [HKCU\Software\Shareaza\Shareaza\Downloads]
  [HKCU\Software\DC++]
  [HKCU\Software\eMule]
  

  Загруженные файлы могут также сохраняться в каталоге:
  %USERPROFILE%\Local Settings\Application Data\Ares\My Shared Folder
  На момент создания описания от злоумышленника была получена ссылка:

  http://id***info/vs8.exe

  По ней загружался файл размером 27136 байт; детектируется Антивирусом Касперского как "Trojan.Win32.Buzus.clqr".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского: произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).