WORM_PALEVO.AAL
Windows 2000, Windows XP, Windows Server 2003
Tipo de malware
Worm
Destructivo?
No
Cifrado
³§¨ª
In the Wild:
³§¨ª
Resumen y descripci¨®n
Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Infiltra copias de s¨ª mismo en todas las unidades extra¨ªbles conectadas a un sistema afectado. Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
However, as of this writing, the said sites are inaccessible.
Detalles t¨¦cnicos
Detalles de entrada
Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô
Crea las siguientes copias de s¨ª mismo en el sistema afectado:
- %User Profile%\{random name}.exe
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Este malware inyecta c¨®digos en el/los siguiente(s) proceso(s):
- SVCHOST.EXE
T¨¦cnica de inicio autom¨¢tico
Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = %User Profile%\{random name}.exe
±Ê°ù´Ç±è²¹²µ²¹³¦¾±¨®²Ô
Infiltra copias de s¨ª mismo en todas las unidades extra¨ªbles conectadas a un sistema afectado.
Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Rutina de puerta trasera
However, as of this writing, the said sites are inaccessible.
Rutina de infiltraci¨®n
Este malware define los atributos del/de los archivo(s) infiltrado(s) de la siguiente manera:
- Hidden
- System
- Read-Only
Soluciones
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.
Step 2
Explorar el equipo con su producto de live casino online y anotar los archivos detectados como WORM_PALEVO.AAL
Step 3
Reiniciar en modo seguro
Step 4
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
?- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Taskman = %User Profile%\{random name}.exe
- Taskman = %User Profile%\{random name}.exe
Step 5
Buscar y eliminar los archivos de AUTORUN.INF creados por WORM_PALEVO.AAL que contienen las siguientes cadenas
USEAUTOPLAY=1
shellexecute={random 1}/{random 2}.exe
action=0pen folder?to view files using?Windows?Explorer
ShellfhjfqjfWjflkfjwkl
shell\Explore\command={random 1}/{random 2}.exe
shell\Open\command={random 1}/{random 2}.exe
icon={random 1}/{random 2}.exe
open={random 1}/{random 2}.exe
Step 6
Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como WORM_PALEVO.AAL En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.
Rellene nuestra encuesta!