WORM_PALEVO.SAN

Wird möglicherweise von anderer Malware eingeschleust. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Schleust Kopien von sich selbst in alle Wechsellaufwerke ein. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Öffnet zufällig ausgewählte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung führt der externe Benutzer Befehle auf dem betroffenen System aus. Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird. Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen.

Sammelt bestimmte Informationen auf dem betroffenen Computer.

Übertragungsdetails

Wird möglicherweise von anderer Malware eingeschleust.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust folgende nicht bösartigen Dateien ein:

• %System Root%\RECYCLER\S-1-5-21-7136771794-0781154526-587386796-3468\Desktop.ini

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %System Root%\RECYCLER\S-1-5-21-7136771794-0781154526-587386796-3468\nissan.exe

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Erstellt die folgenden Ordner:

• %System Root%\RECYCLER
• %System Root%\RECYCLER\S-1-5-21-7136771794-0781154526-587386796-3468
• {removable drive}:\RAZLOG

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Wird in die folgenden Prozesse injiziert, die im Arbeitsspeicher ausgeführt werden:

• EXPLORER.EXE

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = %System Root%\RECYCLER\S-1-5-21-7136771794-0781154526-587386796-3468\nissan.exe

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

• RAZLOG

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

• RAZLOG\zaljubljeni.exe

Schleust Kopien von sich selbst in alle Wechsellaufwerke ein.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[autorun
;{garbage}
open=RAZLOG///zaljubljeni.exe
;{garbage}
icon=%SystemRoot%\system32\SHELL32.dll,4
;{garbage}
action=Open folderáto view files usingáWindowsáExplorer
;{garbage}
Shell\open\\command=RAZLOG///zaljubljeni.exe
;{garbage}
shell\explore\command=RAZLOG///zaljubljeni.exe
;{garbage}
USEAUTOPLAY=1
;{garbage}

Backdoor-Routine

Öffnet zufällig ausgewählte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung führt der externe Benutzer Befehle auf dem betroffenen System aus.

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

• Perform DDoS attacks
• Download and execute files from a remote server
• Spread via shared folders and P2P networks
• Spread via MSN network
• Perform port scanning

Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.

• {BLOCKED}.prichaonica.com
• pica.{BLOCKED}ucke-ljepotice.ru
• l33t.{BLOCKED}clothes.net

Datendiebstahl

Sammelt die folgenden Informationen auf dem betroffenen Computer:

• System information
• Mozilla Firefox account information
• Protected Storage credentials