Nom:Worm/Pinom.C
La date de la découverte:20/05/2005
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:21.504 Octets
Somme de contrôle MD5:a2760d29e825e74df4dadcab6d40e0b2
Version VDF:6.30.00.190

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Symantec: W32.Cissi.A@mm
   •  Mcafee: W32/Pinom.worm!backdoor
   •  Kaspersky: Worm.Win32.Pinom.c
   •  TrendMicro: WORM_CISSI.B
   •  Grisoft: Worm/Pinom.C
   •  VirusBuster: Worm.Cissy.B
   •  Bitdefender: Win32.Worm.Imbiat.A


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\penis.exe



Une section est ajoutée à un fichier.
– A: %WINDIR%\system.ini Avec le contenu suivant:
   • shell=Explorer.exe penis.exe

Ceci exécute le fichier mentionné après le redémarrage.

 Registre La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
   La nouvelle valeur:
   • "Shell"="Explorer.exe penis.exe"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans le partage réseau suivant:
   • %tous les dossiers partagés%


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– La liste suivante de noms d'utilisateurs:
   • Guest
   • Administrator
   • Owner
   • Root

– La liste suivante de mots de passe:
   • 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
      shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
      12345678; 12345; ccc; admin; Admin; Password; 123; 1234567; 123456789;
      654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
      database; abcd; abc123; sybase; 123qwe; server; computer; Internet;
      super; 123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600;
      alpha; 110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa;
      patrick; pat; administrator; root; sex; god; foobar; secret; test;
      test123; temp; temp123; win; asdf; oracle'pwd; qwer; yxcv; zxcv; home;
      xxx; owner; login; Login; pw123; love; mypc; mypc123; admin123;
      mypass; mypass123; 901100



La création des adresses IP:
Il crée des adresses IP aléatoires et il essaye d'établir une connexion avec elles.


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: uk.undernet.org
Port: 6667
Canal: #peniz
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: public


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS SYN
    • Télécharger un fichier
    • Exécuter un fichier
    • Quitter la canal IRC
    • Opérer un attaque DDoS
    • Terminer le Malware
    • Se mettre à jour tout seul
    • Visiter un site web

 Informations divers Mutex:
Il crée le Mutex suivant:
   • STFUKTHX

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Delphi.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Iulia Diaconescu le lundi 13 mars 2006
Description mise à jour par Iulia Diaconescu le lundi 13 mars 2006

Retour . . . .