Palevo - Un Vierme De Y!m

Tot ce am prins ieri am trimis la analiza prin email.

Cred ca au fost semnate toate versiunile(cred ca sunt vreo 12-15).

Am primit un link pe yahoo messenger la care Bitdefender 2010, nu a reactionat. Vezi imaginea.

Pe un site scrie ca se raspandeste (cel putin asa am inteles eu) prin TCP port 2345. As vrea sa verific daca are efect blocarea acestui port din firewall-ul Bitdefender 2010 I.S., dar nu stiu ce sa las bifat si ce nu, la categoriile: Evenimente / Tipuri adaptor.

In imagine, un link nou.

Acolo e altă mâncare de pește.

Portul respectiv e folosit pentru a primi comenzi. De exemplu pentru a descărca malware adițional, sau pentru actualizări automate ale "produsului" " /> (da, și virușii primesc actualizări. Am văzut și malware cu EULA ).

De exemplu, dacă infectezi un sistem cu un astfel de virus, vei vedea că va începe să trimită mesaje pe YM. În timp, linkurile trimise, și poate și mesajele, se vor schimba. Asta nu pentru că linkurile sunt deja scrise în codul virusului, și el doar le ciclează, pentru că asta ar fi ușor de blocat de către antiviruși. Ci deoarece virusul trimite ca mesaje ce primește de la un server extern (adică cineva, undeva departe, trimite tuturor virușilor, ce mesaje să trimită, și ce linkuri).

Pentru a infecta efectiv un sistem, singura cale e să rulezi un executabil din unul din acele linkuri. Acest virus nu are răspândire automată. Se bazează în totalitate pe naivitatea utilizatorilor.

Cris.

Ca un update, pentru a nu lăsa acest topic fără o finalitate: de când a apărut acest malware, au fost adăugate mai multe semnături specifice, precum și câteva rutine generice de detecție. În momentul de față, toate versiunile vechi sau noi ale acestui malware (o variantă a viermelui Palevo) ar trebui să fie detectate.

Însă pericolul tot nu a trecut. Acest malware este încă destul de răspândit, iar autorii nu par a se plictisi de el. Apar versiuni noi zilnic (după cum ziceam, BitDefender le detectează pe majoritatea fără intervenții suplimentare), precum și noi linkuri transmise prin Y!M (cu mesaje diferite). Atenție, de asemenea, și la formatul linkurilor. Deși inițial erau ușor de recunoscut (toate linkurile se terminau în image.php), acum formatul linkurilor variază destul de mult. Se folosesc chiar și linkuri scurtate cu servicii cunoscute de acest gen (precum tinyurl.com).

De asemenea, malwareul a devenit ceva mai agresiv, și orice infectare poate duce la infectarea cu mai multe categorii de malware. Unele din linkurile transmise de Palevo prin Y!M duc direct la alți malware (ce nu fac parte din familia Palevo), iar unii din acești malware s-ar putea să nu fie încă detectați de BitDefender.

Bineînțeles, echipa de analiză BitDefender monitorizează constant toate linkurile cunoscute de până acum, precum și linkurile nou-apărute, pentru a adăuga cât mai rapid detecție pentru eventualele noi versiuni nedetectate. Însă dacă găsiți un sample din această categorie care nu e detectat, vă rugăm să nu ezitați să îl încărcați pe un site de sharing (într-o arhivă parolată) și să îmi trimiteți linkul de download prin PM.

Din motive de securitate, am șters din posturile de mai sus toate linkurile și screenshoturile cu linkuri periculoase.

O zi bună.

Cris.

ANUNȚ!

Am aflat că a apărut un link nou care se transmite pe YM (cel puțin, de unul am aflat deocamdată). Versiunea de Palevo care se transmite prin acel link este una nouă, momentan nedetectată de BitDefender. Însă va intra detecție în aproximativ 1-2 ore de la momentul postării acestui mesaj.

Dacă găsiți alte noi linkuri, vă rugăm să ne anunțați cât mai repede. Vă mulțumim.

Cris.

@Official

Imi poti trimite te rog sampleul pe PM sa vedem exact de ce da failed la stergere?

Când va apărea BD Antivirus 2011? Testez BD 2011 T.S., şi am sesizat că merge mai lent faţă de BD 2010 la scanaarea fişierelor, iar dacă adăug un USB nu-l detectează. deocamdată asta am sesizat.