ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

P2P-Worm.Win32.Palevo

Fecha de detección 06/26/2009
Clase P2P-Worm
Plataforma Win32
Descripción

Para simular la legitimidad, el archivo del gusano contiene información ficticia sobre el archivo:

El gusano localiza un proceso correspondiente a una ventana con la clase "Progman" (así es como el malware encuentra el proceso "explorer.exe") e inyecta su código en este proceso, luego deja de ejecutarse.

El código malicioso inyectado en este proceso está instalado y realiza la funcionalidad de puerta trasera. Para hacer esto, se conecta a los hosts remotos:




prcoli *** nica.com



krete *** epotice.ru



somb *** osting.net



84. ***. 194



dz *** tarts.com



Siguiendo un comando del usuario malicioso, el gusano puede realizar las siguientes acciones:

  1. Descargue archivos a la computadora infectada y ejecútelos para su ejecución. Los archivos descargados se guardan en la carpeta temporal del usuario con nombres aleatorios:
     % Temp% <rnd> .exe 

    donde <rnd> es un número aleatorio.

    Puede guardar los archivos descargados bajo los nombres "Crack.exe" y "Keygen.exe" en los directorios compartidos de archivos de red P2P ubicados en la máquina local. También puede guardarlos en el siguiente directorio:

    
    
    
    % ALLUSERSPROFILE% Configuración localApplication DataAresMy Carpeta compartida 

    Obtiene los nombres de los directorios de intercambio de archivos de red P2P mediante el análisis de los parámetros de estas claves de registro del sistema:

    
    
    
    [HKCUSoftwareBearShareGeneral]
    
    
    
    [HKCUSoftwareiMeshGeneral]
    
    
    
    [HKCUSoftwareShareazaShareazaDownloads]
    
    
    
    [HKCUSoftwareKazaaLocalContent]
    
    
    
    [HKCUSoftwareDC ++]
    
    
    
    [HKCUSoftwareMicrosoftWindowsCurrentVersionUninstalleMule Plus_is1]
    
    
    
    
  2. Cambiar el contenido del archivo "hosts":
    
    
    
    % System% etchosts 

    Esto significa que puede bloquear el acceso a los recursos de Internet visitados por el usuario o redirigir al usuario a otros recursos.

  3. Llevar a cabo un ataque DoS en un servidor especificado por el usuario malintencionado.
  4. Copie el cuerpo del gusano a toda la red accesible a escritura y unidades extraíbles. También coloca el archivo adjunto que se muestra a continuación en la raíz de cada disco:
     <X>: autorun.inf 

    donde <X> es la letra de la unidad de red o disco extraíble. Al mismo tiempo, asigna atributos "ocultos" y de "sistema" a las copias del gusano.

    Este archivo inicia el archivo ejecutable desde la copia del gusano cada vez que el usuario accede al disco infectado usando Explorer.

  5. Envíe los nombres de los recursos de Internet y sus contraseñas a la dirección del usuario malintencionado cuando el usuario utilice los siguientes navegadores:
    
    
    
    Mozilla Firefox
    
    
    
    explorador de Internet
    
    
    
    Ópera
    
    
    
    

En el momento de escribir este artículo, el gusano descargó su versión actualizada de la siguiente URL y luego la lanzó para su ejecución:

 http: //188.***.27/jebacina/418.exe 


Enlace al original