Worm.Palevo.Win32

Worm.Palevo.Win32 - семейство сетевых червей использующие сетевые протоколы и съемные диски для своего размножения.

Методы  распространения

распространяется при помощи P2P сетей и съемных дисков. размножение в сетях P2P происходит весьма просто - червь копирует своё тело в каталоги используемые для обмена файлов P2P-сетях с именами crack.exe, Keygen.exe и т.п., чем провоцирует пользователей на скачивание файла. При размножении через съемные носители червь копирует себя в  папку RECYCLER на носителе,а в корне диска создает сопутствующий файл autorun.inf, который позволит выполниться копии червя, если на атакуемом компьютере включен автозапуск.

Функциональные  возможности

При запуске червь внедряет свой код в адресное пространство "explorer.exe" , добавляет ссылку на исполняемый файл в ключ автозапуска системного реестра -

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon],

что приводит к автоматическому запуску червя при каждом старте системы.
Создает копии своего тела во всех доступных на запись сетевых и съемных дисках, а также  в каталогах обмена файлами P2P-сетей.  Помещает в корень диска сопровождающий файл autorun.inf, который запускает копию червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Для контроля своего потока в системе создает уникальный идентификатор.

Деструктивные особенности

Отправляет на адрес злоумышленника сохраненные пароли из браузеров Firefox, Internet Explorer, Opera. Червь имеет функционал бекдора, и способен по команде злоумышленника осуществить загрузку файлов на зараженный компьютер. При этом сохранение файлов происходит в каталоги обмена P2P-сетей расположенные на локальной машине, что автоматически приводит к дальнейшему рраспространению червя.