P2P-Worm.Win32.Palevo.brz

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам файлообменных пиринговых сетей. Является приложением Windows (PE–EXE файл). Имеет размер 103424 байта. Написана на C++.

Инсталляция

После запуска червь копирует свое тело в следующий файл:

Для автоматического запуска при каждом следующем старте системы червь создает ключ системного реестра:

Распространение

Червь копирует свое тело на все доступные для записи съемные диски, подключаемые к зараженному компьютеру. Копия червя создается под следующим именем:

<имя зараженного съемного диска>:\Recycler\autorun.exe

Вместе со своим исполняемым файлом червь помещает файл:

<имя зараженного съемного диска>:\autorun.inf

содержащий следующие строки:

[autorun]
open=Recycler\autorun.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=Recycler\autorun.exe
shell\open\default=1

Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный съемный диск при помощи программы "Проводник".

Файлы создаются с атрибутом "скрытый" (hidden).

Деструктивная активность

После запуска червь создает уникальный идентификатор с именем:

roo_fejh__frg6roo3

Также червь содержит функционал бэкдора. Вредоносная программа внедряет в адресное пространство процесса "EXPLORER.EXE" код, который выполняет следующие действия:

• подключается к удаленным хостам:

  irc.***zmedia.com
  zone.***boutique.com
  story.***entrymx.com
  

• После этого червь переходит в цикл ожидания команд злоумышленника. По команде злоумышленника могут быть выполнены следующие действия:
  • - загрузка файлов по переданным злоумышленником ссылкам. Загруженные файлы сохраняются во временном каталоге пользователя под случайными именами.
  • Кроме того, червь может сохранять загруженные файлы в каталогах обмена файлами P2P-сетей. Пути к этим каталогам червь получает, считывая значения ключей, содержащихся в следующих ветвях системного реестра:

    [HKCU\Software\Kazaa\LocalContent]
    [HKCU\Software\Kazaa\LocalContent\DonwloadDir]
    [HKCU\Software\BearShare\General]
    [HKCU\Software\iMesh\General]
    [HKCU\Software\Shareaza\Shareaza\Downloads]
    [HKCU\Software\DC++]
    [HKCU\Software\eMule]
    

    Загруженные файлы также могут сохраняться в каталоге:

    %USERPROFILE%\Local Settings\Application Data\Ares\My Shared Folder

  • Отправка на сервер злоумышленника имен компьютера и текущего пользователя.
  • Организация DoS-атаки на указанный злоумышленником сервер.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского: произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).