Nome del virus:Worm/Pinom.C
Scoperto:20/05/2005
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:21.504 Byte
Somma di controllo MD5:a2760d29e825e74df4dadcab6d40e0b2
Versione VDF:6.30.00.190

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Symantec: W32.Cissi.A@mm
   •  Mcafee: W32/Pinom.worm!backdoor
   •  Kaspersky: Worm.Win32.Pinom.c
   •  TrendMicro: WORM_CISSI.B
   •  Grisoft: Worm/Pinom.C
   •  VirusBuster: Worm.Cissy.B
   •  Bitdefender: Win32.Worm.Imbiat.A


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\penis.exe



Una sezione viene aggiunta a un file.
– A: %WINDIR%\system.ini Con i seguenti contenuti:
   • shell=Explorer.exe penis.exe

Questo esegue il file menzionato dopo il riavvio.

 Registro Viene cambiata la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "Shell"="Explorer.exe"
   Nuovo valore:
   • "Shell"="Explorer.exe penis.exe"

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa una copia di se stesso nella seguente condivisione di rete:
   • %tutte le cartelle condivise%


Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

– La seguente lista di Nomi Utente:
   • Guest
   • Administrator
   • Owner
   • Root

– La seguente lista di Password:
   • 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
      shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
      12345678; 12345; ccc; admin; Admin; Password; 123; 1234567; 123456789;
      654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
      database; abcd; abc123; sybase; 123qwe; server; computer; Internet;
      super; 123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600;
      alpha; 110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa;
      patrick; pat; administrator; root; sex; god; foobar; secret; test;
      test123; temp; temp123; win; asdf; oracle'pwd; qwer; yxcv; zxcv; home;
      xxx; owner; login; Login; pw123; love; mypc; mypc123; admin123;
      mypass; mypass123; 901100



Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali e prova a stabilire una connessione.


Esecuzione remota:
–Tenta di pianificare una esecuzione remota del malware, sulla macchina “infettata” recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: uk.undernet.org
Porta: 6667
Canale: #peniz
Nickname: %stringa di caratteri casuale%
Password: public


– In più ha la capacità di effettuare azioni quali:
    • Lanciare un attacco DdoS SYN
    • Download di file
    • Eseguire file
    • Abbandonare il canale IRC
    • Eseguire un attacco DdoS
    • Terminare il malware
    • Aggiornarsi
    • Visitare un sito web

 Varie Mutex:
Crea il seguente Mutex:
   • STFUKTHX

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Iulia Diaconescu su lunedì 13 marzo 2006
Descrizione aggiornata da Iulia Diaconescu su lunedì 13 marzo 2006

Indietro . . . .