Nombre:Worm/Pinom.C
Descubierto:20/05/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:21.504 Bytes
Suma de control MD5:a2760d29e825e74df4dadcab6d40e0b2
Versión del VDF:6.30.00.190

 General Método de propagación:
   • Red local


Alias:
   •  Symantec: W32.Cissi.A@mm
   •  Mcafee: W32/Pinom.worm!backdoor
   •  Kaspersky: Worm.Win32.Pinom.c
   •  TrendMicro: WORM_CISSI.B
   •  Grisoft: Worm/Pinom.C
   •  VirusBuster: Worm.Cissy.B
   •  Bitdefender: Win32.Worm.Imbiat.A


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\penis.exe



Añade una sección al fichero.
– Para: %WINDIR%\system.ini Con el siguiente contenido:
   • shell=Explorer.exe penis.exe

De esta manera, el fichero mencionado será ejecutado al reiniciar el sistema.

 Registro Modifica la siguiente clave del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   Nuevo valor:
   • "Shell"="Explorer.exe penis.exe"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta una copia suya en la siguiente carpeta compartida en la red:
   • %todas las carpetas compartidas%


Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

– El siguiente listado de nombres de usuario:
   • Guest
   • Administrator
   • Owner
   • Root

– El siguiente listado de contraseñas:
   • 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
      shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
      12345678; 12345; ccc; admin; Admin; Password; 123; 1234567; 123456789;
      654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
      database; abcd; abc123; sybase; 123qwe; server; computer; Internet;
      super; 123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600;
      alpha; 110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa;
      patrick; pat; administrator; root; sex; god; foobar; secret; test;
      test123; temp; temp123; win; asdf; oracle'pwd; qwer; yxcv; zxcv; home;
      xxx; owner; login; Login; pw123; love; mypc; mypc123; admin123;
      mypass; mypass123; 901100



Creación de direcciones IP:
Crea direcciones IP aleatorias e intenta establecer una conexión con dichas IPs.


Ejecución remota:
–Intenta programar una ejecución remota del programa viral, en la máquina recién infectada. Por eso emplea la función NetScheduleJobAdd.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: uk.undernet.org
Puerto: 6667
Canal: #peniz
Apodo: %serie de caracteres aleatorios%
Contraseña: public


– Además puede efectuar las siguientes operaciones:
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Descargar fichero
    • Ejecutar fichero
    • Salir del canal IRC
    • Ejecutar ataque DDoS
    • Terminar proceso viral
    • Se actualiza solo
    • Visitar un sitio web

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • STFUKTHX

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Iulia Diaconescu el lunes 13 de marzo de 2006
Descripción actualizada por Iulia Diaconescu el lunes 13 de marzo de 2006

Volver . . . .