Vollständige Virenbeschreibung

Nume:	Worm/Pinit.LA
Descoperit pe data de:	05/05/2010
Tip:	Vierme
ITW:	Da
Numar infectii raportate:	Scazut spre mediu
Potential de raspandire:	Scazut spre mediu
Potential de distrugere:	Scazut spre mediu
Fisier static:	Da
Marime:	187.392 Bytes
MD5:	638801b85ccd70f54fea8b4bffe86bc2
Versiune IVDF:	7.10.07.42 - Mittwoch, 5. Mai 2010

General Metoda de raspandire:
   • Reteaua locala

Alias:
   • Sophos: Mal/EncPk-OC
   • Bitdefender: Trojan.Generic.KD.10255
   • Panda: W32/Pinit.J.worm
   • Eset: Win32/Pinit.AF

Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Modificari in registri

Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\cooper.mine

Sterge urmatoarele fisiere:
   • %TEMPDIR%\tmp6.tmp
   • %TEMPDIR%\tmp5.tmp
   • %TEMPDIR%\tmp4.tmp
   • %SYSDIR%\clgd

Sunt create fisierele:

– %SYSDIR%\user32.dll
– %TEMPDIR%\tmp6.tmp
– %SYSDIR%\dllcache\user32.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Patched.Gen2

– %SYSDIR%\hgtd.ruy
– %SYSDIR%\h7t.wt
– %SYSDIR%\xwxn
– %TEMPDIR%\tmp5.tmp
– %TEMPDIR%\tmp4.tmp
– %SYSDIR%\nmklo.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Pinit.IT.2

– %SYSDIR%\clgd Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Patched.Gen2

Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://winupdatedb.co.uk/tpsa/**********

– Adresa este urmatoarea:
   • http://winupdatedb.co.uk/tpsa/**********

Incearca se execute urmatorul fisier:

– Numele fisierului:
   • "%SYSDIR%\Wbem\wmic.exe" path win32_terminalservicesetting where (__Class!="") call setallowtsconnections 1

Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\1]
   • "31AC70412E939D72A9234CDEBB1AF5867B"="efipdhioiijnjpjcjmidigiggmgfgkgkhkhfcojedpemjgfcinfdff"

– [HKLM\SOFTWARE\9]
   • "31AC70412E939D72A9234CDEBB1AF5867B"="nqrckqqlqdrqrirprhqoqrqdopoinfnhmjmqrjrjlmmrmrnpmqqhnqnknj"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   • "Appinut_Dlls"="nmklo"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "MID"="B335FB1C6E064B5A931A63C8F03C717F7C96159DACC443459539445B697950D9"

Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS04-011 (LSASS Vulnerability)

Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 20. August 2010
Die Beschreibung wurde geändert von Petre Galan am Freitag, 20. August 2010

zurück . . . .

PC Schutz

Gratis-Produkte

Beliebteste Produkte

Alle Produkte

Bundle-Lösungen

Arbeitsplatzrechner

Server

Bundle-Lösungen

Mail Gateways

Web Gateways

Kollaborationsplattformen

Für Privatanwender

Für Unternehmen

Virenlabor

Mehr Support

Avira Partner werden

Für Privatanwender

Für Unternehmen

Sie möchten das Produkt nur testen?

Handbücher und Tools