Worm.Palevo.Win32

Worm.Palevo.Win32 - сімейство мережевих хробаків що використовують мережеві протоколи і знімні диски для свого ррозмноження.

Методи поширення

Поширюється за допомогою P2P мереж і знімних дисків. розмноження в мережах P2P відбувається досить просто - хробак копіює своє тіло в каталоги, що використовуються для обміну файлів в P2P-мережах, з іменами - crack.exe, Keygen.exe, тощо, провокуючи користувачів на скачування файлу. При розмноженні через змінні носії черв'як копіює себе в папку RECYCLER на носій, а в корені диска створює супутній файл autorun.inf, який дозволить виконатися копії хробака, якщо на іншому комп'ютері буде ввімкнений автозапуск.

Функціональні можливості

При запуску хробак інтегрує свій код в адресний простір "explorer.exe", додає посилання на виконуваний файл в ключ автозапуску системного реєстру- 
[HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon], 

що призводить до автоматичного запуску хробака при кожному старті системи. Хробак створює копії свого тіла у всіх доступних на запис мережевих і знімних дисках, а також в каталогах обміну файлами P2P-мереж. Поміщає в корінь диска супроводжуючий файл autorun.inf, який запускає копію хробака, кожен раз, коли користувач відкриває заражений розділ за допомогою програми "Провідник". Для контролю свого потоку в системі хробак створює свій унікальний ідентифікатор.

Деструктивні особливості

Відправляє на адресу зловмисника всі збережені паролі з браузерів Firefox, Internet Explorer, Opera. Хробак має функціонал бекдора, і здатний по команді зловмисника здійснити завантаження файлів на заражений комп'ютер. При цьому, збереження файлів відбувається в каталоги обміну P2P-мереж розташовані на локальній машині, що автоматично призводить до подальшого поширення хробака