¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Pinit.NP
Descubierto:19/07/2010
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:151.040 Bytes
Suma de control MD5:0e97ea67fb10d0e8811ebed6fa6931d0
Versin del VDF:7.10.04.26
Versin del IVDF:7.10.09.119 - lunes 19 de julio de 2010

 General Alias:
   •  Sophos: Troj/Agent-NXQ
   •  Bitdefender: Trojan.Downloader.Bredolab.EQ
   •  Panda: W32/Pinit.M.worm
   •  Eset: Win32/Pinit.AF


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dainos
   • Suelta ficheros dainos
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\cooper.mine



Elimina el siguiente fichero:
   • %SYSDIR%\hifokcy



Crea los siguientes ficheros:

%SYSDIR%\user32.dll
%SYSDIR%\dllcache\user32.dll Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Patched.Gen2

%SYSDIR%\h7t.wt
%SYSDIR%\hgtd.ruy
%SYSDIR%\nmklo.dll Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/Pinit.IT.2

%SYSDIR%\hifokcy Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Patched.Gen2

%SYSDIR%\kedquu



Intenta descargar algunos ficheros:

La direccin es la siguiente:
   • http://winupdatedb.co.uk/tpsa/**********


La direccin es la siguiente:
   • http://winupdatedb.co.uk/tpsa/**********




Intenta ejecutar el siguiente fichero:

Ejecuta uno de los ficheros siguientes:
   • "%SYSDIR%\Wbem\wmic.exe" path win32_terminalservicesetting where (__Class!="") call setallowtsconnections 1

 Registro Aade las siguientes claves al registro:

[HKLM\SOFTWARE\9]
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:0x00bbdf19
   • "31AC70412E939D72A9234CDEBB1AF5867B"="nqrckqqlqdrqrirprhqoqrqdopoinfnhmjmqrjrjlmmrmrnpmqqhnqnknj"
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:0x00000000

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "MID"="7350171B30C7445EB1BBFB4DB6AC95604363DA83889E4F7CB19D66F95B47E748"
   • "tt"=dword:0x00000001

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   • "Appiijt_Dlls"="nmklo"

[HKLM\SOFTWARE\1]
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:0x00bbdf19
   • "31AC70412E939D72A9234CDEBB1AF5867B"="efipdhioiijnjpjcjmidigiggmgfgkgkhkhfcojedpemjgfcinfdff"
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:0x00000000

[HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\
   Licensing Core]
   • "EnableConcurrentSessions"=dword:0x00000001



Modifica la siguiente clave del registro:

[HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server]
   Nuevo valor:
   • "fDenyTSConnections"=dword:0x00000000

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • **********.ru:62152 (TCP)


 Informaciones diversas Accede a recursos de Internet:
   • http://polujopa.com/tpsa/gate/r.php

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el miércoles 5 de enero de 2011
Descripción actualizada por Petre Galan el miércoles 5 de enero de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.