P2P-Worm.Win32.Palevo.a

Технические детали

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам файлообменных пиринговых сетей. Является приложением Windows (PE–EXE файл). Имеет размер 72704 байта. Написана на C++.


Инсталляция


После запуска червь копирует свое тело в следующий файл:

C:\RECYCLER\S-1-5-21-1303053254-8312411937-675098127-9987\winmap32.exe
Для автоматического запуска червя при каждом следующем старте системы создается ключ системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman" = "C:\RECYCLER\S-1-5-21-1303053254-8312411937-675098127-9987\winmap32.exe"

Червь копирует свое тело на все доступные для записи съемные диски, подключаемые к зараженному компьютеру. Копия червя создается под следующим именем:

<имя зараженного съемного диска>:\RECYCLER32\dmgr.exe
Вместе со своим исполняемым файлом червь помещает файл:
<имя зараженного съемного диска>:\autorun.inf
содержащий следующие строки:
[autorun]
open=RECYCLER32\dmgr.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER32\dmgr.exe
shell\open\default=1
Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный съемный диск при помощи программы "Проводник".

Созданные файлы имеют атрибут "скрытый" (hidden).

Нагрузка

После запуска червь создает уникальный идентификатор с именем:

sxofjiegt555

Также червь содержит функционал бэкдора. Вредоносная программа внедряет в адресное пространство процесса "EXPLORER.EXE" код, который выполняет следующие действия:
  • соединяется с удаленным хостом:
    mix.***nadzz.info

  • Отправляет на вышеупомянутый хост следующие данные:
    • имя компьютера;
    • имя текущего пользователя.

  • Червь способен по команде злоумышленника осуществлять загрузку файлов на зараженный компьютер. Загруженные файлы сохраняются во временном каталоге пользователя как
    %Temp%\<rnd>.exe

    где <rnd> – случайное трехзначное десятичное число.


    Кроме того, червь может сохранять загруженные файлы в каталогах обмена файлами P2P-сетей. Пути к этим каталогам червь получает, считывая значения ключей, содержащихся в следующих ветвях системного реестра:
    [HKCU\Software\Kazaa\LocalContent]
    [HKCU\Software\Kazaa\LocalContent\DonwloadDir]
    [HKCU\Software\BearShare\General]
    [HKCU\Software\iMesh\General]
    [HKCU\Software\Shareaza\Shareaza\Downloads]
    [HKCU\Software\DC++]
    [HKCU\Software\eMule]
    

    Загруженные файлы могут также сохраняться в каталоге:
    %USERPROFILE%\Local Settings\Application Data\Ares\My Shared Folder

    На момент создания описания от злоумышленника была получена ссылка:
    http://id***info/vs8.exe

    По ней загружался файл размером 27136 байт; детектируется Антивирусом Касперского как "Trojan.Win32.Buzus.clqr".

Инструкции по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского: произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).