Datorită unor prieteni naivi, am observat că un worm nou se răspândeşte rapid prin intermediul Yahoo! Messenger, utilizînd link-uri web la imagini false. Victimele acestui worm devin automat membrii unui botnet.
Metoda de propagare: acest worm transmite tuturor utilizatorilor din lista de contacte yahoo messenger a utiliyatorului infectat un mesaj care conţine un link de tipul: http://[nume_domeniu]/image.php la accesarea căruia utilizatorul primeşte înştiinţare de download a unui fişier care pretinde a fi imagine cu numele: IMG87214.JPG-www.myspace.com.exe (cifrele sunt aleatoare) însă este de fapt o aplicaţie. Am făcut download la aplicaţie şi am instalat-o pe o maşină virtuală. Fişierul odată executat, instalează aplicaţia infocard.exe.
Deasemenea crează intrări în registru în următoarele ramuri:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Window\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server Install\Software\Microsoft\Windows\CurrentVersion\Run
Deasemena mai sunt create alte 3 fişiere: mdt.sys, mds.sys şi winbrd.jpg
Apoi este creată încă o valoare în regsitru:
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications
care crează excepţii în Firewall-ul Windows standard şi îi permite aplicaţiei să comunice cu botnet-ul.
Nu deschideţi aceste link-uri, şi faceţi update cu regularitate a bazei de date a aplicaţiilor antivirus.
#1 by Adrenalin on May 9, 2010 - 16:13
Ihu, Inca de pe IRC roboti “fete” trimeteau “fotografii” ;o) Cel mai fun era sa gasesti chanul unde se aduna toti robotii, citeodata chiar si controlul asupra botnetului se putea de luat. Fun.
#2 by alex constantinescu on May 18, 2010 - 17:21
Instrumentul de stergere a Worm.P2P.Palevo.DP este acum disponibil si se poate descarca de aici http://www.bitdefender.ro/site/view/palevo-vierme-messenger.html
Daca este nevoie folositi-l sau recomandati-l prietenilor care au facut click din greseala pe link-ul infectat.