Palevo

Pažeidžiamos kompiuterinės sistemos ir programos:

Windows OS

Aprašymas:

Palevo yra kompiuterinis kirminas (angl.Worm) - savaiminio plitimo kenkėjiškas programinis kodas (angl. Malware). Skirtingai nuo virusų, kirminų plitimui nereikalingas joks vartotojo įsikišimas, jie plinta išnaudodami tam tikrus kompiuterinių sistemų ir tinklų pažeidžiamumus. Palevo kompiuterinis kirminas yra žinomas kaip "Mariposa" botnet tinklo komponentas, kurio pagrindinė veikla - įtraukti užkrėstą kompiuterį į botnet tinklą. Tokiam tinkle veikiantis kompiuteris vėliau gali būti išnaudojamas DDoS atakoms vykdyti. Kita vykdoma veikla:

  • užmezga ryšį su nuotoliniu C&C (angl.Command&Control) serveriu, taip įgalindamas kompiuterio nuotolinį valdymą;
  • siunčia ir diegia į užkrėstą kompiuterį kitas kenkėjiško programinio kodo programas;
  • renka vartotojo asmeninę informaciją (prisijungimų prie paskyrų, finansinius duomenis) ir perduoda ją piktavaliui.
Palevo kirminas plinta P2P (angl. peer-to-peer) tinklais (BitTorrent, DC++, eMule), išorinėmis duomenų laikmenomis (USB, CD/DVD) bei momentinių žinučių susirašinėjimo platformomis (Skype, Jabber, MSN Messenger). Išnaudojamos trys žinomos kompiuterinių sistemų saugumo spragos - CVE-2003-0352, CVE-2005-0059, CVE-2005-1983. Infekuotuose kompiuteriuose pakeičia registrų (angl. Registry Keys) reikšmes ir prikabina save prie svarbių sisteminių failų, taip užtikrindamas savo veikimą po to, kai kompiuteris paleidžiamas iš naujo.

Rekomendacijos užsikrėtus:
  • izoliuoti užkrėstą kompiuterį nuo išorinio tinklo;
  • atlikti pilną sistemos patikrą antivirusinėmis programomis;
  • atstatyti modifikuotų registrų biblioteką ir užkrėstus sisteminius failus naudojant sistemos atstatymą (angl. System Restore);
  • išjungti automatinio paleidimo (angl. Autorun) funckiją, atlikti visų galimai užkrėstų išorinių duomenų laikmenų patikrą antivirusinėmis programomis;
  • pastebėjus atsinaujinusių kirmino veiklos požymių, sukurti visų svarbių duomenų atsargines kopijas ir pilnai perdiegti operacinę sistemą iš naujo (formatuojant visus kietuosius diskus);
  • vidiniame tinkle veikiant daugiau kompiuterių, atjungti juos nuo vidinio tinklo ir pilnai pakartoti aukščiau išvardintus veiksmus;
  • jei manote, kad patys išvalyti ir apsaugoti savo įrenginio(-ų) negalėsite, kreipkitės pagalbos į IT specialistus.
Informacijos šaltiniai:

https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Worm%3AWin32%2FPalevo&ThreatID=-2147325715
https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/W32~Palevo-BB/detailed-analysis.aspx
https://www.symantec.com/security_response/writeup.jsp?docid=2009-072313-3630-99&tabid=2
http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/worm_palevo

Visos rekomendacijos