تاريخ: 1389/06/04  ساعت : 12:24 

این بدافزار از طریق ارسال پیام های فوری هرز به مخاطبان گسترش می یابد. این برنامه مخرب کپی هایی از خودش را در پوشه های سیستم عامل با نام jusched.exe ایجاد می کند که شبیه یک فایل زبان برنامه نویسی شناخته می شود. به منظور اجرای خود در هر زمان که سیستم عامل راه اندازی می شود مقادیر زیر در رجیستری ویندوز اضافه می شود: A. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run with "Java developer Script Browse" which contains the path of the Trojan "%Windir%\jusched.exe" B. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run : "Java developer Script Browse" with the value "%Windir%\jusched.exe" C. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run : "Java developer Script Browse" with the value "%Windir%\jusched.exe" Worm.P2P.Palevo.FP بوسیله افزودن مقادیر زیر در رجیستری خود را به عنوان یک برنامه کاربردی مجاز برای دیواره آتش سیستم اضافه می کند. keyHKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List این بدافزار خدمات بروز رسانی ویندوز را متوقف می کند، و از انجام بروز رسانی لازم توسط کاربر جلوگیری می کند. همچنین تلاش می کند msmpsvc.exe را متوقف کند که یک سرویس حفاظت از بدافزار هاست که متعلق به شرکت مایکروسافت می باشد. این کرم قادر به ارسال پیام ها به مخاطبان در برنامه های کاربردی ارسال پیام فوری مانند Skype ، Yahoo Messenger و AIM(AOL Instant Messenger) می باشد.

همواره نرم افزار ضد ویروس، سیستم کامپیوتر خود را بروز رسانی نمایید و سیستم خود را با نرم افزار های ضد ویروس به روز رسانی شده اسکن نمایید.

vulatt_v-89-5-3-worm+p2p+palevo+fp.pdf

گزارش کننده :  سعیده نکوخیز - سمانه غنی
تاييد شده توسط: adminshiraz sh - مرکز آپای دانشگاه شیراز