Полное описание

Имя:	Worm/Pinit.LA
Обнаружен:	05/05/2010
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	От низкого до среднего
Потенциал распространения:	От низкого до среднего
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	187.392 байт.
Контрольная сумма MD5:	638801b85ccd70f54fea8b4bffe86bc2
Версия IVDF:	7.10.07.42 - среда, 5 мая 2010 г.

Общее Метод распространения:
   • Локальная сеть

Псевдонимы (аliases):
   • Sophos: Mal/EncPk-OC
   • Bitdefender: Trojan.Generic.KD.10255
   • Panda: W32/Pinit.J.worm
   • Eset: Win32/Pinit.AF

Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Загружает вредоносные файлы
   • Создает вредоносные файлы
   • Изменение реестра

Файлы Создается собственная копия:
   • %SYSDIR%\cooper.mine

Удаляются следующие файлы:
   • %TEMPDIR%\tmp6.tmp
   • %TEMPDIR%\tmp5.tmp
   • %TEMPDIR%\tmp4.tmp
   • %SYSDIR%\clgd

Создаются следующие файлы:

– %SYSDIR%\user32.dll
– %TEMPDIR%\tmp6.tmp
– %SYSDIR%\dllcache\user32.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Patched.Gen2

– %SYSDIR%\hgtd.ruy
– %SYSDIR%\h7t.wt
– %SYSDIR%\xwxn
– %TEMPDIR%\tmp5.tmp
– %TEMPDIR%\tmp4.tmp
– %SYSDIR%\nmklo.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Pinit.IT.2

– %SYSDIR%\clgd Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Patched.Gen2

Попытка загрузки следующих файлов:

– Следующий URL:
   • http://winupdatedb.co.uk/tpsa/**********

– Следующий URL:
   • http://winupdatedb.co.uk/tpsa/**********

Попытка запустить на выполнение следующий файл:

– Имя файла:
   • "%SYSDIR%\Wbem\wmic.exe" path win32_terminalservicesetting where (__Class!="") call setallowtsconnections 1

Реестр Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\1]
   • "31AC70412E939D72A9234CDEBB1AF5867B"="efipdhioiijnjpjcjmidigiggmgfgkgkhkhfcojedpemjgfcinfdff"

– [HKLM\SOFTWARE\9]
   • "31AC70412E939D72A9234CDEBB1AF5867B"="nqrckqqlqdrqrirprhqoqrqdopoinfnhmjmqrjrjlmmrmrnpmqqhnqnknj"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   • "Appinut_Dlls"="nmklo"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "MID"="B335FB1C6E064B5A931A63C8F03C717F7C96159DACC443459539445B697950D9"

Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Эксплойт:
Используется следующая брешь в безопасности:
– MS04-011 (Уязвимость LSASS)

Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) пятница, 20 августа 2010 г.
Описание обновил Petre Galan в(о) пятница, 20 августа 2010 г.

Назад . . . .

Популярная защита для домашних ПК

Бесплатные продукты

Наиболее популярные продукты

Все продукты

Пакетные решения

Рабочие станции

Server

Пакетные решения

Почтовые шлюзы

Сетевые шлюзы

Коллективные платформы

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты