¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Pinit.RB
Descubierto:01/08/2010
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:176.128 Bytes
Suma de control MD5:f4858e44266d0729645240f66cb9e656
Versin del VDF:7.10.04.83
Versin del IVDF:7.10.10.26 - domingo 1 de agosto de 2010

 General Alias:
   •  Sophos: Mal/Katusha-A
   •  Bitdefender: Trojan.FakeAlert.CFQ
   •  Panda: W32/Pinit.M.worm
   •  Eset: Win32/Pinit.AF


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dainos
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\cooper.mine



Elimina los siguientes ficheros:
   • %SYSDIR%\user32.dll
   • %SYSDIR%\%serie de caracteres aleatorios%



Crea los siguientes ficheros:

%SYSDIR%\dllcache\user32.dll Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Patched.Gen2

%SYSDIR%\h7t.wt
%SYSDIR%\hgtd.ruy
%SYSDIR%\%serie de caracteres aleatorios% Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Patched.Gen2

%SYSDIR%\nmklo.dll Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/Pinit.MT

%SYSDIR%\ff4h.gy



Intenta ejecutar el siguiente fichero:

Ejecuta uno de los ficheros siguientes:
   • "%SYSDIR%\Wbem\wmic.exe" path win32_terminalservicesetting where (__Class!="") call setallowtsconnections 1

 Registro Aade las siguientes claves al registro:

[HKLM\SOFTWARE\3]
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:0x03f940aa
   • "31AC70412E939D72A9234CDEBB1AF5867B"="nqrckqqlqdrqrirprhqoqrqdopoinfnhmjmqrjrjlmmdmqrpmeqhmnng"
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:0x00000000

[HKLM\SOFTWARE\1]
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:0x03f940aa
   • "31AC70412E939D72A9234CDEBB1AF5867B"="efipdhioiijnjpjcjmidigiggmgfgkgkhkhfcojedpemjgfcinfdff"
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:0x00000000

[HKLM\SOFTWARE\9]
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:0x03f940aa
   • "31AC70412E939D72A9234CDEBB1AF5867B"="kgomncpjpnogoconproiodorqjqoqhqfrprgmlmlocrhrlqnogkrpcpipp"
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:0x00000000

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "MID"="72C556A22C0B4086A2F19C5D1A919D184650EC06AF8B4F20AC8273DBD9A08067"

[HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\
   Licensing Core]
   • "EnableConcurrentSessions"=dword:0x00000001

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   • "Appioot_Dlls"="nmklo"



Modifica la siguiente clave del registro:

[HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server]
   Nuevo valor:
   • "fDenyTSConnections"=dword:0x00000000

 Informaciones diversas Accede a recursos de Internet:
   • http://silajopa.com/tpsa/gate/**********
   • http://perejopa.com/tpsa/gate/**********
   • http://nedojopa.com/tpsa/gate/**********
   • http://silajopa.com/tpsa/gate/**********

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el martes 1 de febrero de 2011
Descripción actualizada por Andrei Ivanes el jueves 3 de febrero de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.