Modificado por: : Kathleen Notario
 

W32.Pilleuz!gen1 (Symantec); Worm:Win32/Rimecud.B (Microsoft); P2P-Worm.Win32.Palevo.avpl (Kaspersky); W32/Palevo.gen.a (Mcafee);

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribui??o:
 infec??o relatada:
Baixo
Medium
Alto
°ä°ù¨ª³Ù¾±³¦´Ç

  • Tipo de grayware:
    Worm

  • Destrutivo:
    N?o

  • Criptografado:
    N?o

  • In the Wild:
    Sim

  Vis?o geral

Canal de infec??o: Verbreitet sich ¨¹ber Wechseldatentr?ger, Verbreitet sich ¨¹ber Peer-to-Peer-Netzwerke

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuf¨¹hren, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

F¨¹hrt Befehle eines externen, b?swilligen Benutzers aus, wodurch das betroffene System gef?hrdet wird. However, as of this writing, the said sites are inaccessible.

  Detalhes t¨¦cnicos

Tipo de compacta??o: 141,312 bytes
Tipo de arquivo: EXE
Residente na mem¨®ria: Sim
Data de recebimento das amostras iniciais: 26 mar?o 2010
Carga ¨²til: Compromises system security, Connects to URLs/IPs

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %User Profile%\csrss.exe

(Hinweis: %User Profile% ist der Ordner f¨¹r Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Injiziert sich selbst in die folgenden Prozesse, um speicherresident ausgef¨¹hrt zu werden:

  • explorer.exe

Autostart-Technik

F¨¹gt folgende Registrierungseintr?ge hinzu, um bei jedem Systemstart automatisch ausgef¨¹hrt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = "%User Profile%\csrss.exe"

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

  • MUSKO
  • TWINS

Schleust Eigenkopien in die folgenden, von Peer-to-Peer-Netzwerken verwendeten Ordner ein:

  • Ares
  • BearShare
  • DC++
  • eMule
  • eMule Plus
  • iMesh
  • Kazaa
  • Limewire
  • Shareaza

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

  • {Removable Drive}:\MUSKO\karikatura.exe
  • {Removable Drive}:\TWINS\jutroivece.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuf¨¹hren, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enth?lt die folgenden Zeichenfolgen:

[autorun
{garbage characters}
open={folder name}///{malware filename}.exe
{garbage characters}
icon=%SystemRoot%\system32\SHELL32.dll,4
{garbage characters}
action=Open folder to view files using Windows Explorer
{garbage characters}
Shell\open\command={folder name}///{malware filename}.exe
{garbage characters}
shell\open\command={folder name}///{malware filename}.exe
{garbage characters}
USEAUTOPLAY=1
{garbage characters}

Versendet Nachrichten mit Links zu Sites mit externen Eigenkopien ¨¹ber die folgenden Instant-Messaging-Anwendungen:

  • MSN Messenger

Backdoor-Routine

F¨¹hrt die folgenden Befehle eines externen, b?swilligen Benutzers aus:

  • Perform port scans
  • Perform SYN flood
  • Propagate itself via MSN Messenger
  • Propagate itself via P2P networks

However, as of this writing, the said sites are inaccessible.

  Solu??o

Mecanismo de varredura m¨ªnima: 9.200
Primeiro arquivo padr?o VSAPI: 6.952.01
Data do lan?amento do primeiro padr?o VSAPI: 26 mar?o 2010
VSAPI OPR Pattern Version: 6.953.00
VSAPI OPR Pattern ver?ffentlicht am: 27 mar?o 2010

Step 1

F¨¹r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Dateien, die als WORM_PALEVO.SMJJ entdeckt wurden, ¨¹ber die Startdiskette oder die Wiederherstellungskonsole erkennen und l?schen

[ Saber mais ]

Step 3

Diesen Registrierungswert l?schen

[ Saber mais ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

?
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • Taskman = "%User Profile%\csrss.exe"

Step 4

AUTORUN.INF Dateien suchen und l?schen, die von WORM_PALEVO.SMJJ erstellt wurden und diese Zeichenfolgen enthalten

[ Saber mais ]
[autorun
{garbage characters}
open={folder name}///{malware filename}.exe
{garbage characters}
icon=%SystemRoot%\system32\SHELL32.dll,4
{garbage characters}
action=Open folder to view files using Windows Explorer
{garbage characters}
Shell\open\command={folder name}///{malware filename}.exe
{garbage characters}
shell\open\command={folder name}///{malware filename}.exe
{garbage characters}

Step 5

Diese Ordner suchen und l?schen

[ Saber mais ]
Aktivieren Sie unbedingt das Kontrollk?stchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu ber¨¹cksichtigen.
  • {Removable Drive}:\MUSKO
  • {Removable Drive}:\TWINS

Step 6

Durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt, und l?schen Sie Dateien, die als WORM_PALEVO.SMJJ entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.


Participe da nossa pesquisa!

Arquivo correspondente