VírusWorm/Pinom.C
Data em que surgiu:20/05/2005
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:21.504 Bytes
MD5 checksum:a2760d29e825e74df4dadcab6d40e0b2
Versão VDF:6.30.00.190

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Symantec: W32.Cissi.A@mm
   •  Mcafee: W32/Pinom.worm!backdoor
   •  Kaspersky: Worm.Win32.Pinom.c
   •  TrendMicro: WORM_CISSI.B
   •  Grisoft: Worm/Pinom.C
   •  VirusBuster: Worm.Cissy.B
   •  Bitdefender: Win32.Worm.Imbiat.A


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\penis.exe



É acrescentada uma secção a um ficheiro.
– Para: %WINDIR%\system.ini Com os conteúdos seguintes:
   • shell=Explorer.exe penis.exe

Executa o ficheiro mencionado depois de reinicializar.

 Registry (Registo do Windows) O seguinte valor do registo é alterado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   Valor recente:
   • "Shell"="Explorer.exe penis.exe"

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia uma cópia de si próprio à seguinte partilha de rede:
   • %todas as pastas partilhadas%


Usa a seguinte informação de login para ganhar acesso à máquina remota:

– A seguinte lista de nomes de utilizadores:
   • Guest
   • Administrator
   • Owner
   • Root

– A seguinte lista de palavras-chave:
   • 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
      shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
      12345678; 12345; ccc; admin; Admin; Password; 123; 1234567; 123456789;
      654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
      database; abcd; abc123; sybase; 123qwe; server; computer; Internet;
      super; 123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600;
      alpha; 110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa;
      patrick; pat; administrator; root; sex; god; foobar; secret; test;
      test123; temp; temp123; win; asdf; oracle'pwd; qwer; yxcv; zxcv; home;
      xxx; owner; login; Login; pw123; love; mypc; mypc123; admin123;
      mypass; mypass123; 901100



Criação de endereços IP:
Cria endereços IP aleatórios e tenta estabelecer uma ligação com eles.


Execução remota:
–Tenta programar uma execução remota do malware, na máquina recentemente infectada. Então usa a função de NetScheduleJobAdd.

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: uk.undernet.org
Porta: 6667
Canal #peniz
Nickname: %uma série de caracteres aleatórios%
Palavra-chave public


– Para além disso tem a capacidade de executar as seguintes acções:
    • Lança DDoS SYN floods
    • Download de ficheiros
    • Executa o ficheiro
    • Abandona canais IRC
    • Ataque de Negação de Serviços (ataque DoS)
    • Termina o malware
    • Actualiza-se a ele próprio
    • Visita um Web site

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • STFUKTHX

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Iulia Diaconescu em segunda-feira, 13 de março de 2006
Descrição atualizada por Iulia Diaconescu em segunda-feira, 13 de março de 2006

Voltar . . . .