WORM_PALEVO.BGC
VirTool:Win32/VBInject.gen!CU (Microsoft); W32.Pilleuz (Symantec); P2P-Worm.Win32.Palevo.lrs, P2P-Worm.Win32.Palevo.lrs (Kaspersky); Backdoor.Sdbot.DGDK (FSecure); Troj/VBDrop-P (Sophos); Worm.Win32.Palevo.mwz (v) (GFI-Sunbelt); W32/Kolab.HQL!worm (Fortinet); W32/Worm.AXRV (exact) (FProt); Worm/Palevo.lrs.4 (AntiVir); W32/Worm.AXRV (Authentium); Worm.P2P.Palevo-12 (ClamAV); P2P-Worm.Win32.Palevo (Ikarus); Trojan W32/VBTroj.CEPA (Norman); I-Worm.Palevo.lrs (Quickheal); Trojan-Dropper.VB.Clare (VBA32)
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Worm
Destructiveness:
No
Encrypted:
No
In the wild::
Yes
OVERVIEW
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
TECHNICAL DETAILS
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %System Root%\RECYCLER\{random SID}\{random file name}.exe
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Infiltra los archivos siguientes:
- %System Root%\RECYCLER\{random SID}\Desktop.ini - non-malicious files
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = "%System Root%\RECYCLER\{random SID}\{random file name}.exe"
Propagación
Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:
- {drive letter}:\Docs\print.exe
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.