Worm/Biatch - Worm

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	Worm/Biatch
Data em que surgiu:	17/01/2006
Tipo:	Worm
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Médio
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	20.480 Bytes
MD5 checksum:	d9c745ef21721938fd44b8bf85717b8c

Vulgarmente Meio de transmissão:
   • Rede local

Alias:
   • Mcafee: W32/Pinom.worm!backdoor
   • TrendMicro: WORM_PINOM.A
   • Bitdefender: Win32.Worm.Pinom.G

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
• %SYSDIR%\penis.exe

Registry (Registo do Windows) O seguinte valor do registo é alterado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   Valor recente:
   • "Shell"="Explorer.exe %SYSDIR%\penis.exe"

Infecção da rede Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia uma cópia de si próprio à seguinte partilha de rede:
   • %todas as pastas partilhadas%\setup.exe

Usa a seguinte informação de login para ganhar acesso à máquina remota:

– Uma lista de nomes de utilizador e palavras-chave:
   • 1234; 0; 7; 110; 111; 123; 1111; 1313; 2002; 2003; 2112; 2600; 5150;
      6969; 7777; 12345; 54321; 111111; 121212; 123123; 123456; 654321;
      901100; 1234567; 11111111; 12345678; 88888888; 123456789; 1234qwer;
      123abc; 123asd; 123qwe; aaa; abc; abc123; abcd; admin; Admin;
      admin123; administrator; Administrator; alpha; asdf; baseball; ccc;
      computer; database; enable; fish; foobar; god; godblessyou; golf;
      Guest; harley; home; ihavenopass; Internet; letmein; login; Login;
      love; mustang; mypass; mypass123; mypc; mypc123; oracle'pwd; owner;
      Owner; pass; passwd; password; Password; pat; patrick; pussy; pw123;
      qwer; qwerty; root; Root; secret; server; sex; shadow; super; sybase;
      temp; temp123; test; test123; win; xxx; yxcv; zxcv

Criação de endereços IP:
Cria endereços IP aleatórios e tenta estabelecer uma ligação com eles.

Execução remota:
–Tenta programar uma execução remota do malware, na máquina recentemente infectada. Então usa a função de NetScheduleJobAdd.

IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: genesis.ga**********.us
Porta: 6667
Canal #peniz
Nickname: %uma série de caracteres aleatórios%
Palavra-chave pubic

– Para além disso tem a capacidade de executar as seguintes acções:
    • Download de ficheiros
    • Executa o ficheiro
    • Ataque de Negação de Serviços (ataque DoS)
    • Termina o malware
    • Actualiza-se a ele próprio
    • Visita um Web site

Detalhes do ficheiro Linguagem de programação:
Ficheiro escrito em Delphi.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• UPX

Veja aqui uma breve descrição.

Descrição adicionada por Iulia Diaconescu em Wed, 18 Jan 2006 11:54 (GMT+1)
Descrição adicionada por Andrei Gherman em Tue, 24 Jan 2006 12:57 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back