WORM / Palevo.arez



Nome: Worm.P2P.Palevo.DP
Tipo: Worm
Come si diffonde: Si diffonde via IM spam
Sistemi operativi interessati: sistemi operativi Windows ®
Alias: Backdoor.Win32.IRCBot.oyd, P2P-Worm: W32/Palevo.CF, Worm: Win32/Pushbot.RK
Data di scoperta; 4 maggio 2010 00:00

Sintomi
Un computer che è stato infettato da questo worm, invia messaggi indesiderati contenenti collegamenti a una fotografia di contatti tramite client di messaggistica istantanea.

Descrizione
Questo diffonde via auto-generata spam IM. Un messaggio istantaneo spam infetta tenta di ingannare l'utente facendogli il salvataggio di un file. JPG, che è in realtà un file eseguibile contenente Worm.P2P.Palevo.DP. Il codice dannoso viene eseguito quando l'utente tenta di aprire il file.

Il worm crea i seguenti quattro file nascosti nella cartella di Windows.

[FilePath]\infocard.exe
[FilePath]\mds.sys
[FilePath]\mdt.sys
[FilePath]\winbrd.jpg
Here, [FilePath] can be %Windir%, %Public%, or %ProgramFiles%, depending on whether or not it can write to the specific folder.

Il worm modifica le seguenti chiavi di Registro per puntare a questi file e per bypassare firewall del sistema operativo.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "[FilePath]\infocard.exe"]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "[FilePath]\infocard.exe"]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "[FilePath]\infocard.exe"]

Il worm stabilisce una connessione ad un server IRC all'indirizzo http://dbs[removed]s.com or http://e2[removed]o.com sulla porta numero 2345 e quindi attende i comandi. Questo worm può rispondere a uno dei comandi seguenti.

r.gf: Starts a thread that downloads a file and executes it.
r.gfstop: Stops the download-and-execute thread.
yah.msg: Sends Yahoo!® IM messages with an infected link.
msn.msg: Sends both Yahoo!® and MSN IM messages with an infected link.
Esempio: Nel messaggio, ".msn.msg foto :D http://[removed]image.php?= ," the infected link point to multiple domains hosting the worm.
msn.stop: Arresta il thread di invio dei messaggi.

Fonte: e Scan
alle
Etichette:

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)