Внимание!
Цитата:
Эксперты американской компании Unveillance, специализирующейся на SaaS-защите от утечек данных, с тревогой наблюдают безудержный рост одного из ботнетов, сформированных на основе Palevo. По их оценке, его размеры уже побили рекорд печально известного ботнета Mariposa.
- SecureList.com http://www.securelist.com/ru/blog/40598/Babochka_goliaf
Palevo является бэкдором и обладает способностью к несанкционированному пользователем саморазмножению в P2P-Сетях (файлообменная пиринговая сеть, Peer-to-Peer).
Цитата:
Весь деструктивный функционал червя выполняется кодом, внедряемым в адресное пространство процесса "EXPLORER.EXE".
После внедрения вредоносного кода процессом "EXPLORER.EXE" выполняются следующие действия:
- для контроля уникальности процесса в системе создается уникальный идентификатор
- Для обеспечения доступа к зараженной системе создается именованный канал
- Устанавливается соединение с сервером злоумышленника
Используется протокол UDP, порт 7999. По команде злоумышленника червь может выполнять на зараженном компьютере следующие действия:
- организация DoS-атак на указанные сервера;
- загрузка файлов по переданным ссылкам. Загруженные файлы сохраняются в каталоге хранения временных файлов текущего пользователя "%Temp%" под случайными именами.
- Загрузка с сервера злоумышленника обновленной версии червя.
- Анализ файлов настроек браузеров:
Mozilla Firefox
Internet Explorer
Opera
с целью похищения сохраненных паролей.
- Похищение и модификация "cookie" браузера. Для этого червь использует встроенный в браузер Mozilla Firefox модуль "sqlite"
.
- Действия инсталляции и распространения
- SecureList.com http://www.securelist.com/ru/descriptions/17297101/P2P-Worm.Win32.Palevo.bpji