CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

P2P-Worm.Win32.Palevo

Date de la détection 06/26/2009
Classe P2P-Worm
Plateforme Win32
Description

Afin de simuler la légitimité, le fichier du ver contient des informations factices sur le fichier:

Le ver localise un processus correspondant à une fenêtre avec la classe "Progman" (c'est ainsi que le malware trouve le processus "explorer.exe") et injecte son code dans ce processus, puis cesse de fonctionner.

Le code malveillant injecté dans ce processus est installé et exécute la fonctionnalité de porte dérobée. Pour ce faire, il se connecte aux hôtes distants:




prcoli *** nica.com



krete *** epotice.ru



somb *** osting.net



84. ***. 194



dz *** tarts.com



Suite à une commande de l'utilisateur malveillant, le ver peut effectuer les actions suivantes:

  1. Téléchargez les fichiers sur l'ordinateur infecté et lancez-les pour l'exécution. Les fichiers téléchargés sont enregistrés dans le dossier temporaire de l'utilisateur sous des noms aléatoires:
     % Temp% <rnd> .exe 

    où <rnd> est un nombre aléatoire.

    Il peut enregistrer les fichiers téléchargés sous les noms "Crack.exe" et "Keygen.exe" dans les répertoires de partage de fichiers réseau P2P situés sur la machine locale. Il peut également les enregistrer dans le répertoire suivant:

    
    
    
    % ALLUSERSPROFILE% Local SettingsApplication DataAresMy Dossier partagé 

    Il obtient les noms des répertoires de partage de fichiers réseau P2P en analysant les paramètres de ces clés de registre système:

    
    
    
    [HKCUSoftwareBearShareGeneral]
    
    
    
    [HKCUSoftwareiMeshGeneral]
    
    
    
    [HKCUSoftwareShareazaShareazaTéléchargements]
    
    
    
    [HKCUSoftwareKazaaLocalContent]
    
    
    
    [HKCUSoftwareDC ++]
    
    
    
    [HKCUSoftwareMicrosoftWindowsCurrentVersionUninstalleMule Plus_is1]
    
    
    
    
  2. Changer le contenu du fichier "hosts":
    
    
    
    % System% etchosts 

    Cela signifie qu'il peut bloquer l'accès aux ressources Internet visitées par l'utilisateur ou rediriger l'utilisateur vers d'autres ressources.

  3. Mener une attaque DoS sur un serveur spécifié par l'utilisateur malveillant.
  4. Copiez le corps du ver sur tous les lecteurs amovibles et en réseau accessibles en écriture. Il place également le fichier ci-dessous à la racine de chaque disque:
     <X>: autorun.inf 

    où <X> est la lettre du lecteur réseau ou du disque amovible. En même temps, il attribue des attributs "cachés" et "système" aux copies du ver.

    Ce fichier lance le fichier exécutable à partir de la copie du ver chaque fois que l'utilisateur accède au disque infecté à l'aide de l'Explorateur.

  5. Envoyez les noms des ressources Internet et leurs mots de passe à l'adresse de l'utilisateur malveillant lorsque l'utilisateur utilise les navigateurs suivants:
    
    
    
    Mozilla Firefox
    
    
    
    Internet Explorer
    
    
    
    Opéra
    
    
    
    

Au moment de la rédaction, le ver a téléchargé sa version mise à jour à partir de l'URL suivante, puis l'a lancé pour l'exécution:

 http: //188.***.27/jebacina/418.exe 


Lien vers l'original