ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

P2P-Worm.Win32.Palevo

Data de detecção 06/26/2009
Classe P2P-Worm
Plataforma Win32
Descrição

Para simular a legitimidade, o arquivo do worm contém informações fictícias sobre o arquivo:

O worm localiza um processo correspondente a uma janela com a classe "Progman" (é assim que o malware encontra o processo "explorer.exe") e injeta seu código nesse processo, e então deixa de ser executado.

O código malicioso injetado neste processo é instalado e executa a funcionalidade de backdoor. Para fazer isso, ele se conecta aos hosts remotos:




prcoli *** nica.com



krete *** epotice.ru



somb *** osting.net



84. *** 194



dz *** tarts.com



Seguindo um comando do usuário mal-intencionado, o worm pode executar as seguintes ações:

  1. Faça o download dos arquivos para o computador infectado e inicie-os para execução. Os arquivos baixados são salvos na pasta temporária do usuário sob nomes aleatórios:
     % Temp% <rnd> .exe 

    onde <rnd> é um número aleatório.

    Ele pode salvar os arquivos baixados sob os nomes "Crack.exe" e "Keygen.exe" para diretórios de compartilhamento de arquivos de rede P2P localizados na máquina local. Também pode salvá-los no seguinte diretório:

    
    
    
    % ALLUSERSPROFILE% Configurações locaisDados de aplicativoAres Minha pasta compartilhada 

    Ele obtém os nomes dos diretórios de compartilhamento de arquivos de rede P2P, analisando os parâmetros dessas chaves de registro do sistema:

    
    
    
    [HKCUSoftwareBearShareGeneral]
    
    
    
    [HKCUSoftwareiMeshGeneral]
    
    
    
    [HKCUSoftwareShareazaShareazaDownloads]
    
    
    
    [HKCUSoftwareKazaaLocalContent]
    
    
    
    [HKCUSoftwareDC ++]
    
    
    
    [HKCUSoftwareMicrosoftWindowsCurrentVersionUninstalleMule Plus_is1]
    
    
    
    
  2. Altere o conteúdo do arquivo "hosts":
    
    
    
    % System% etchosts 

    Isso significa que ele pode bloquear o acesso aos recursos da Internet visitados pelo usuário ou redirecionar o usuário para outros recursos.

  3. Conduza um ataque DoS em um servidor especificado pelo usuário mal-intencionado.
  4. Copie o corpo do worm para todas as unidades removíveis e de rede acessíveis por gravação. Ele também coloca o arquivo de acompanhamento mostrado abaixo na raiz de cada disco:
     <X>: autorun.inf 

    onde <X> é a letra da unidade de rede ou disco removível. Ao mesmo tempo, atribui atributos "ocultos" e "sistema" às cópias do worm.

    Esse arquivo inicia o arquivo executável a partir da cópia do worm sempre que o usuário acessa o disco infectado usando o Explorer.

  5. Envie os nomes dos recursos da Internet e suas senhas para o endereço do usuário malicioso quando o usuário usar os seguintes navegadores:
    
    
    
    Mozilla Firefox
    
    
    
    Internet Explorer
    
    
    
    Ópera
    
    
    
    

No momento em que este artigo foi escrito, o worm baixou a versão atualizada do URL a seguir e a lançou para execução:

 http: //188.***.27/jebacina/418.exe 


Link para o original