WORM / Palevo.jvq







Nome del virus: WORM/Palevo.jvq
Scoperto: 05/10/2009
Tipo: Worm
In circolazione (ITW): Si
Numero delle infezioni segnalate: Basso
Potenziale di propagazione: Medio-Alto
Potenziale di danni: Medio
File statico: Si
Dimensione del file: 116.736 Byte
Somma di controllo MD5: 48f1aeecb06e745a44eefc3c05b7156b
Versione VDF: 7.01.06.72

Generale
Metodi di propagazione:
• Autorun feature (it)
• Rete locale
• Messenger
• Peer to Peer
Alias:
• Mcafee: W32/Rimecud
• Kaspersky: P2P-Worm.Win32.Palevo.jvq
• TrendMicro: WORM_RIMCUD.SM
• F-Secure: Worm.P2P.Palevo.O
• Sophos: W32/Rimecud-B
• Eset: Win32/Peerfrag.EJ
• Bitdefender: Worm.P2P.Palevo.O

Piattaforme / Sistemi operativi:
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Effetti secondari:
• Blocca l'accesso a certi siti web
• Modifica del registro
• Sottrae informazioni

File
Si copia alla seguente posizione:
• %unità disco%\restore.exe


Viene creato il seguente file:

– %unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:


Registro
Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
• "Taskman"=" %directory di esecuzione del malware%\dllrun32.exe"

P2P
Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione: Cerca le seguenti directory:
• %ALLUSERSPROFILE%\Local Settings\Application Data\Ares\My Shared Folder
• %PROGRAM FILES%\LimeWire\LimeWire.props

Recupera le cartelle condivise interrogando le seguenti chiavi di registro:
• Software\BearShare\General
• Software\iMesh\General
• Software\Shareaza\Shareaza\Downloads
• Software\Kazaa\LocalContent
• Software\DC++
• Software\Microsoft\Windows\CurrentVersion\Uninstall\eMule Plus_is1

Messenger
Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– MSN Messenger

A:
Tutti i dati immessi nella lista dei contatti.

Propagazione via URL
Invia il seguente link:
• http://obamawebcam.com/load.php

Al momento dell'analisi del virus il file non era più online.

Fonte: Avira

Nessun commento:

Posta un commento