P2P-Worm.Win32.Palevo

Дата обнаружения 26/06/2009
Класс P2P-Worm
Платформа Win32
Описание

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 89600 байт. Написана на C++.

Инсталляция

Если имя червя отличалось от «gpl.exe», тогда создает каталоги с атрибутами «скрытый» и «системный» в корневом каталоге системного диска:

:RECYCLERS-1-5-21-

Где — буква системного диска, — случайный набор из 33-х цифр, например «2417154109-8600854677-216712865-6223» или «0397941677-0106684583-388380175-2763».

В созданном каталоге создает свою копию с именем «gpl.exe»:

:RECYCLERS-1-5-21-gpl.exe

а также файл с именем «Desktop.ini»:

:RECYCLERS-1-5-21-Desktop.ini

Данный файл имеет размер 63 байта и содержит следующие строки:

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

Например P2P-Worm.Win32.Palevo.arxz:

Для имитации легитимности файл червя содержит ложную информацию о файле:

Червь определяет процесс соответствующий окну с классом «Progman» (таким образом вредонос находит процесс «explorer.exe») и внедряет в него вредоносный код, после этого завершает свое выполнение.

Вредоносный код, внедренный в процесс, выполняет вышеописанную инсталляцию, а также реализует функционал бэкдора. Для этого соединяется с удаленными хостами:

prcoli***nica.com
krete***epotice.ru
somb***osting.net
84.***.194
dz***tarts.com

По команде злоумышленника червь может осуществлять следующие действия:

  1. Загрузку и запуск на исполнение файлов на зараженный компьютер. Загруженные файлы сохраняются во временном каталоге пользователя под случайными именем:
    %Temp%.exe

    Где — случайное число.

    Имеет возможность сохранять загруженные файлы с именами «Crack.exe» и «Keygen.exe» в каталоги обмена файлами P2P-сетей, которые расположены на локальной машине, а также в каталог:

    %ALLUSERSPROFILE%Local SettingsApplication Data
    
    AresMy Shared Folder
    

    каталоги обмена файлами P2P-сетей получает, анализируя параметры ключей системного реестра:

    [HKCUSoftwareBearShareGeneral]
    [HKCUSoftwareiMeshGeneral]
    [HKCUSoftwareShareazaShareazaDownloads]
    [HKCUSoftwareKazaaLocalContent]
    [HKCUSoftwareDC++]
    [HKCUSoftwareMicrosoftWindowsCurrentVersionUninstalleMule Plus_is1]
    
  2. Изменять содержимое файла «hosts»:
    %System%etchosts

    Таким образом способен блокировать доступ к Интернет ресурсам, посещаемых пользователем, или перенаправлять пользователя на другие ресурсы.

  3. Осуществлять DoS-атаку на указанный злоумышленником сервер.
  4. Создавать копии тела червя на всех доступных на запись сетевых и съемных дисках.

В корень диска при этом помещает сопровождающий файл:

:autorun.inf

Где — буква сетевого или съемного диска. При этом копии червя устанавливает атрибуты «скрытый» и «системный».

Этот файл запускает исполняемый файл копии червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы «Проводник».

  • Отправлять на адрес злоумышленника имена Интернет ресурсов и сохраненные пароли к ним, если пользователь использовал следующие браузеры:
    Mozilla Firefox
    Internet Explorer
    Opera
    
    

    На момент создания описания червь загружал, после чего запускал на исполнение свою обновленную версию со следующего URL:

    http://188.***.27/jebacina/418.exe