Nume:Worm/Pinom.C
Descoperit pe data de:20/05/2005
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:21.504 Bytes
MD5:a2760d29e825e74df4dadcab6d40e0b2
Versiune VDF:6.30.00.190

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Symantec: W32.Cissi.A@mm
   •  Mcafee: W32/Pinom.worm!backdoor
   •  Kaspersky: Worm.Win32.Pinom.c
   •  TrendMicro: WORM_CISSI.B
   •  Grisoft: Worm/Pinom.C
   •  VirusBuster: Worm.Cissy.B
   •  Bitdefender: Win32.Worm.Imbiat.A


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\penis.exe



O sectiune este adaugata fisierului.
– Catre: %WINDIR%\system.ini Cu urmatorul continut:
   • shell=Explorer.exe penis.exe

Astfel fisierul mentionat este rulat dupa repornirea sistemului.

 Registrii sistemului Urmatoarea cheie din registri este modificata:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • "Shell"="Explorer.exe"
   Noua valoare:
   • "Shell"="Explorer.exe penis.exe"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza o copie malware in urmatorul share de retea:
   • %toate directoarele share%


Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

– Lista de utilizatori:
   • Guest
   • Administrator
   • Owner
   • Root

– Lista de parole:
   • 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
      shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
      12345678; 12345; ccc; admin; Admin; Password; 123; 1234567; 123456789;
      654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
      database; abcd; abc123; sybase; 123qwe; server; computer; Internet;
      super; 123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600;
      alpha; 110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa;
      patrick; pat; administrator; root; sex; god; foobar; secret; test;
      test123; temp; temp123; win; asdf; oracle'pwd; qwer; yxcv; zxcv; home;
      xxx; owner; login; Login; pw123; love; mypc; mypc123; admin123;
      mypass; mypass123; 901100



Generarea adreselor IP:
Creeaza adrese IP aleatoare si incearca sa le contacteze.


Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: uk.undernet.org
Port: 6667
Canal: #peniz
Nick: %combinatie de caractere aleatoare%
Parola: public


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS SYN
    • descarcare fisier
    • executarea unui fisier
    • parasire canal IRC
    • executare atac DDoS
    • terminare proces malware
    • Se actualizeaza singur
    • Vizitarea unui website

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • STFUKTHX

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description insérée par Iulia Diaconescu le lundi 13 mars 2006
Description mise à jour par Iulia Diaconescu le lundi 13 mars 2006

Retour . . . .