P2P-Worm.Win32.Palevo

合法性をシミュレートするために、ワームのファイルにはファイルに関するダミーの情報が含まれています。

ワームは、クラス "Progman"（これはマルウェアが "explorer.exe"プロセスを検出する方法です）を持つウィンドウに対応するプロセスを探し出し、コードをこのプロセスに注入して実行を停止します。

このプロセスに注入された悪質なコードがインストールされ、バックドア機能が実行されます。これを行うために、リモートホストに接続します：

prcoli *** nica.com



krete *** epotice.ru



somb *** osting.net



84。***。194



dz *** tarts.com

ワームは、悪意のあるユーザーからの指示に従って、次の操作を実行できます。

1. 感染したコンピュータにファイルをダウンロードし、実行するために起動します。ダウンロードしたファイルは、ユーザーの一時フォルダにランダムな名前で保存されます。

    ％Temp％<rnd> .exe 

   ここで、<rnd>は乱数です。

   ダウンロードしたファイルを「Crack.exe」と「Keygen.exe」という名前で、ローカルマシン上のP2Pネットワークファイル共有ディレクトリに保存することができます。また、次のディレクトリに保存することもできます。

   
   
   
   ％ALLUSERSPROFILE％ローカル設定アプリケーションDataAresMy共有フォルダ

   これらのシステムレジストリキーのパラメータを分析することによって、P2Pネットワークファイル共有ディレクトリの名前を取得します。

   
   
   
   [HKCUSoftwareBearShareGeneral]
   
   
   
   [HKCsoftwareMeshGeneral]
   
   
   
   [HKCUSoftwareShareazaShareazaダウンロード]
   
   
   
   [HKCUSoftwareKazaaLocalContent]
   
   
   
   [HKCUSoftwareDC ++]
   
   
   
   [HKCUSoftwareMicrosoftWindowsCurrentVersionUninstalleMule Plus_is1]
   
   
   
   

2. "hosts"ファイルの内容を変更する：

   
   
   
   ％システム％エッチスト

   つまり、ユーザーが訪問したインターネットリソースへのアクセスをブロックしたり、ユーザーを他のリソースにリダイレクトしたりすることができます。

3. 悪意のあるユーザーが指定したサーバーに対してDoS攻撃を実行します。
4. ワームの本体を書き込みアクセス可能なすべてのネットワークとリムーバブルドライブにコピーします。また、以下の添付ファイルをすべてのディスクのルートに配置します。

    <X>：autorun.inf 

   <X>はネットワークドライブまたはリムーバブルディスクの文字です。同時に、ワームのコピーに「隠れた」属性と「システム」属性を割り当てます。

   このファイルは、ユーザーがExplorerを使用して感染したディスクにアクセスするたびに、ワームのコピーから実行可能ファイルを起動します。

5. ユーザーが次のブラウザを使用している場合、インターネットリソースの名前とそのパスワードを悪意のあるユーザーのアドレスに送信します。

   
   
   
   Mozilla Firefox
   
   
   
   インターネットエクスプローラ
   
   
   
   オペラ
   
   
   
   

執筆時には、このワームは次のURLから最新バージョンをダウンロードして実行用に起動しました。

 http：//188.***.27/jebacina/418.exe