Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Pinit.NP
Scoperto:19/07/2010
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:151.040 Byte
Somma di controllo MD5:0e97ea67fb10d0e8811ebed6fa6931d0
Versione VDF:7.10.04.26
Versione IVDF:7.10.09.119 - lunedì 19 luglio 2010

 Generale Alias:
   •  Sophos: Troj/Agent-NXQ
   •  Bitdefender: Trojan.Downloader.Bredolab.EQ
   •  Panda: W32/Pinit.M.worm
   •  Eset: Win32/Pinit.AF


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Duplica file “maligni”
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\cooper.mine



Cancella il seguente file:
   • %SYSDIR%\hifokcy



Vengono creati i seguenti file:

%SYSDIR%\user32.dll
%SYSDIR%\dllcache\user32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Patched.Gen2

%SYSDIR%\h7t.wt
%SYSDIR%\hgtd.ruy
%SYSDIR%\nmklo.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Pinit.IT.2

%SYSDIR%\hifokcy Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Patched.Gen2

%SYSDIR%\kedquu



Prova a scaricare dei file:

– La posizione è la seguente:
   • http://winupdatedb.co.uk/tpsa/**********


– La posizione è la seguente:
   • http://winupdatedb.co.uk/tpsa/**********




Prova ad eseguire il seguente file:

– Nome del file:
   • "%SYSDIR%\Wbem\wmic.exe" path win32_terminalservicesetting where (__Class!="") call setallowtsconnections 1

 Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\9]
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:0x00bbdf19
   • "31AC70412E939D72A9234CDEBB1AF5867B"="nqrckqqlqdrqrirprhqoqrqdopoinfnhmjmqrjrjlmmrmrnpmqqhnqnknj"
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "MID"="7350171B30C7445EB1BBFB4DB6AC95604363DA83889E4F7CB19D66F95B47E748"
   • "tt"=dword:0x00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   • "Appiijt_Dlls"="nmklo"

– [HKLM\SOFTWARE\1]
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:0x00bbdf19
   • "31AC70412E939D72A9234CDEBB1AF5867B"="efipdhioiijnjpjcjmidigiggmgfgkgkhkhfcojedpemjgfcinfdff"
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:0x00000000

– [HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\
   Licensing Core]
   • "EnableConcurrentSessions"=dword:0x00000001



Viene cambiata la seguente chiave di registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server]
   Nuovo valore:
   • "fDenyTSConnections"=dword:0x00000000

 Backdoor Contatta il server:
Il seguente:
   • **********.ru:62152 (TCP)


 Varie Accede alle risorse Internet:
   • http://polujopa.com/tpsa/gate/r.php

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su mercoledì 5 gennaio 2011
Descrizione aggiornata da Petre Galan su mercoledì 5 gennaio 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.