P2P-Worm.Win32.Palevo

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 89600 байт. Написана на C++.

Инсталляция

Если имя червя отличалось от “gpl.exe”, тогда создает каталоги с атрибутами “скрытый” и “системный” в корневом каталоге системного диска:

:RECYCLERS-1-5-21-

Где – буква системного диска, – случайный набор из 33-х цифр, например “2417154109-8600854677-216712865-6223” или “0397941677-0106684583-388380175-2763”.

В созданном каталоге создает свою копию с именем “gpl.exe”:

:RECYCLERS-1-5-21-gpl.exe

а также файл с именем “Desktop.ini”:

:RECYCLERS-1-5-21-Desktop.ini

Данный файл имеет размер 63 байта и содержит следующие строки:

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

Например P2P-Worm.Win32.Palevo.arxz:

Для имитации легитимности файл червя содержит ложную информацию о файле:

Червь определяет процесс соответствующий окну с классом “Progman” (таким образом вредонос находит процесс “explorer.exe”) и внедряет в него вредоносный код, после этого завершает свое выполнение.

Вредоносный код, внедренный в процесс, выполняет вышеописанную инсталляцию, а также реализует функционал бэкдора. Для этого соединяется с удаленными хостами:

prcoli***nica.com
krete***epotice.ru
somb***osting.net
84.***.194
dz***tarts.com

По команде злоумышленника червь может осуществлять следующие действия:

1. Загрузку и запуск на исполнение файлов на зараженный компьютер. Загруженные файлы сохраняются во временном каталоге пользователя под случайными именем:

   %Temp%.exe

   Где – случайное число.

   Имеет возможность сохранять загруженные файлы с именами “Crack.exe” и “Keygen.exe” в каталоги обмена файлами P2P-сетей, которые расположены на локальной машине, а также в каталог:

   %ALLUSERSPROFILE%Local SettingsApplication Data
   
   AresMy Shared Folder
   

   каталоги обмена файлами P2P-сетей получает, анализируя параметры ключей системного реестра:

   [HKCUSoftwareBearShareGeneral]
   [HKCUSoftwareiMeshGeneral]
   [HKCUSoftwareShareazaShareazaDownloads]
   [HKCUSoftwareKazaaLocalContent]
   [HKCUSoftwareDC++]
   [HKCUSoftwareMicrosoftWindowsCurrentVersionUninstalleMule Plus_is1]
   

2. Изменять содержимое файла “hosts”:

   %System%etchosts

   Таким образом способен блокировать доступ к Интернет ресурсам, посещаемых пользователем, или перенаправлять пользователя на другие ресурсы.

3. Осуществлять DoS-атаку на указанный злоумышленником сервер.
4. Создавать копии тела червя на всех доступных на запись сетевых и съемных дисках.

В корень диска при этом помещает сопровождающий файл:

:autorun.inf

Где – буква сетевого или съемного диска. При этом копии червя устанавливает атрибуты “скрытый” и “системный”.

Этот файл запускает исполняемый файл копии червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы “Проводник”.

• Отправлять на адрес злоумышленника имена Интернет ресурсов и сохраненные пароли к ним, если пользователь использовал следующие браузеры:

  Mozilla Firefox
  Internet Explorer
  Opera
  
  

  На момент создания описания червь загружал, после чего запускал на исполнение свою обновленную версию со следующего URL:

  http://188.***.27/jebacina/418.exe