Russian
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

P2P-Worm.Win32.Palevo.a

Время детектирования 12 ноя 2009 17:52 MSK
Время выпуска обновления 24 ноя 2009 21:14 MSK
Описание опубликовано 12 ноя 2009 17:52 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам файлообменных пиринговых сетей. Является приложением Windows (PE–EXE файл). Имеет размер 72704 байта. Написана на C++.

Инсталляция

После запуска червь копирует свое тело в следующий файл:

C:\RECYCLER\S-1-5-21-1303053254-8312411937-675098127-9987\winmap32.exe
Для автоматического запуска червя при каждом следующем старте системы создается ключ системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman" = "C:\RECYCLER\S-1-5-21-1303053254-8312411937-675098127-9987\winmap32.exe"

Червь копирует свое тело на все доступные для записи съемные диски, подключаемые к зараженному компьютеру. Копия червя создается под следующим именем:

<имя зараженного съемного диска>:\RECYCLER32\dmgr.exe
Вместе со своим исполняемым файлом червь помещает файл:
<имя зараженного съемного диска>:\autorun.inf
содержащий следующие строки:
[autorun]
open=RECYCLER32\dmgr.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER32\dmgr.exe
shell\open\default=1
Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный съемный диск при помощи программы "Проводник".

Созданные файлы имеют атрибут "скрытый" (hidden).


Деструктивная активность

После запуска червь создает уникальный идентификатор с именем:

sxofjiegt555
Также червь содержит функционал бэкдора. Вредоносная программа внедряет в адресное пространство процесса "EXPLORER.EXE" код, который выполняет следующие действия:
  • соединяется с удаленным хостом:
    mix.***nadzz.info
  • Отправляет на вышеупомянутый хост следующие данные:
    • имя компьютера;
    • имя текущего пользователя.
  • Червь способен по команде злоумышленника осуществлять загрузку файлов на зараженный компьютер. Загруженные файлы сохраняются во временном каталоге пользователя как
    %Temp%\<rnd>.exe
    где <rnd> – случайное трехзначное десятичное число.

    Кроме того, червь может сохранять загруженные файлы в каталогах обмена файлами P2P-сетей. Пути к этим каталогам червь получает, считывая значения ключей, содержащихся в следующих ветвях системного реестра:
    [HKCU\Software\Kazaa\LocalContent]
    [HKCU\Software\Kazaa\LocalContent\DonwloadDir]
    [HKCU\Software\BearShare\General]
    [HKCU\Software\iMesh\General]
    [HKCU\Software\Shareaza\Shareaza\Downloads]
    [HKCU\Software\DC++]
    [HKCU\Software\eMule]
    
    Загруженные файлы могут также сохраняться в каталоге:
    %USERPROFILE%\Local Settings\Application Data\Ares\My Shared Folder
    На момент создания описания от злоумышленника была получена ссылка:
    http://id***info/vs8.exe
    По ней загружался файл размером 27136 байт; детектируется Антивирусом Касперского как "Trojan.Win32.Buzus.clqr".


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского: произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


Bookmark and Share
Закладки
P2P-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам файлообменных пиринговых сетей (например, Kazaa, Grokster, eDonkey, FastTrack, Gnutella и др.).

Механизм работы большинства подобных червей достаточно прост — для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя — при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.

Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно — при этом червь предлагает для скачивания свою копию.


Другие модификации

Другие названия

P2P-Worm.Win32.Palevo.a («Лаборатория Касперского») также известен как:

  • Trojan: W32/Rimecud (McAfee)
  • Mal/EncPk-MX (Sophos)
  • Worm:Win32/Rimecud.A (MS(OneCare))
  • Trojan.Packed.688 (DrWeb)
  • Win32/Kryptik.BDR trojan (Nod32)
  • Trojan.Generic.2744365 (BitDef7)
  • Worm.Rimecud.AQG (VirusBuster)
  • Win32:Malware-gen (AVAST)
  • P2P-Worm.Win32.Palevo (Ikarus)
  • SHeur2.BUFT (AVG)
  • WORM/Palevo.A.1 (AVIRA)
  • Trojan Horse (NAV)
  • P2P-Worm.Win32.Palevo.a [AVP] (FSecure)