¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Pinit.RB
Descubierto:01/08/2010
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:176.128 Bytes
Suma de control MD5:f4858e44266d0729645240f66cb9e656
Versión del VDF:7.10.04.83
Versión del IVDF:7.10.10.26 - domingo, 1 de agosto de 2010

 General Alias:
   •  Sophos: Mal/Katusha-A
   •  Bitdefender: Trojan.FakeAlert.CFQ
   •  Panda: W32/Pinit.M.worm
   •  Eset: Win32/Pinit.AF


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\cooper.mine



Elimina los siguientes ficheros:
   • %SYSDIR%\user32.dll
   • %SYSDIR%\%serie de caracteres aleatorios%



Crea los siguientes ficheros:

%SYSDIR%\dllcache\user32.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Patched.Gen2

%SYSDIR%\h7t.wt
%SYSDIR%\hgtd.ruy
%SYSDIR%\%serie de caracteres aleatorios% Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Patched.Gen2

%SYSDIR%\nmklo.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Pinit.MT

%SYSDIR%\ff4h.gy



Intenta ejecutar el siguiente fichero:

– Ejecuta uno de los ficheros siguientes:
   • "%SYSDIR%\Wbem\wmic.exe" path win32_terminalservicesetting where (__Class!="") call setallowtsconnections 1

 Registro Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\3]
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:0x03f940aa
   • "31AC70412E939D72A9234CDEBB1AF5867B"="nqrckqqlqdrqrirprhqoqrqdopoinfnhmjmqrjrjlmmdmqrpmeqhmnng"
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:0x00000000

– [HKLM\SOFTWARE\1]
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:0x03f940aa
   • "31AC70412E939D72A9234CDEBB1AF5867B"="efipdhioiijnjpjcjmidigiggmgfgkgkhkhfcojedpemjgfcinfdff"
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:0x00000000

– [HKLM\SOFTWARE\9]
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:0x03f940aa
   • "31AC70412E939D72A9234CDEBB1AF5867B"="kgomncpjpnogoconproiodorqjqoqhqfrprgmlmlocrhrlqnogkrpcpipp"
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "MID"="72C556A22C0B4086A2F19C5D1A919D184650EC06AF8B4F20AC8273DBD9A08067"

– [HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\
   Licensing Core]
   • "EnableConcurrentSessions"=dword:0x00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   • "Appioot_Dlls"="nmklo"



Modifica la siguiente clave del registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server]
   Nuevo valor:
   • "fDenyTSConnections"=dword:0x00000000

 Informaciones diversas Accede a recursos de Internet:
   • http://silajopa.com/tpsa/gate/**********
   • http://perejopa.com/tpsa/gate/**********
   • http://nedojopa.com/tpsa/gate/**********
   • http://silajopa.com/tpsa/gate/**********

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el martes, 1 de febrero de 2011
Descripción actualizada por Andrei Ivanes el jueves, 3 de febrero de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.