Pinit.L


Difusión: Baja Fecha de Alta:12-06-2009
Última Actualización:12-06-2009

Daño: Medio

Dispersibilidad: Medio

Nombre completo: [email protected]

Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [SMB] - Se difunde por carpetas compartidas de red de Microsoft.

Alias:Win32/Pinit.L (Enciclopedia Virus)

Método de Infección/Efectos

Descarga el fichero:

* %System%\aston.mt

Nota:

%System% es una variable que hace referencia al directorio del sistema de Windows. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

También crea los siguientes ficheros dentro de la misma carpeta:

* nvaux32.dll
* e.spa
* adj.j
* devh.e2
* rdxz.e

El virus modifica el fichero:

* %System%\user32.dll

El gusano elimina los siguientes ficheros:

* %System%\pla.ax
* %System%\paso.el
* %System%\ntpl.bin
* %System%\aston.mt

Para cargarse en memoria en cada inicio de sistema crea la siguiente entrada:

Código:
Clave: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 

Valor: "%variable%Init_Dlls" = "nvaux32"
Este gusano intenta copiarse a carpetas compartidas utilizando los siguientes datos:

Código:
Nombre de usuario: administrator 

Contraseñas que prueba: 

0

1

11

13

123

133

666

777

1212

1234

1313

12345

123456

12345678

!@#

123abc

a1b2c3

abc123

adm

admin

administrator

alex

andrew

apple

asa

avalon

baseball

bear

buster

calvin

canada

carmen

changeme

computer

diamond

donald

dragon

fuckme

fuckyou

harley

hello

hockey

internet

jordan

letmein

maggie

matthew

michael

michelle

mickey

mike

miller

mindy

money

mustang

ou812

pass

password

patrick

q

qaz

qazxsw

qqq

qwerty

qwerty

ranger

secret

service

shadow

snoopy

summer

test

test

tiger

tigger

trustno1

xxx

zaq

zaqwsx

zzz
Si puede acceder a alguna carpeta compartida con las credenciales anteriores, copia el gusano con uno de los nombres:

* MarioForever.exe
* cls.exe


FUENTE: Alerta-Antivirus.es: Detalles del virus Pinit.L

Esto pone de manifiesto la importancia de proteger el acceso a estas carpetas así como a cualquier otra cosa con una contraseña bien robusta y no solo dedicarse a poner una palabra concreta o una secuencia numerica, cuando mas caracteres especiales mejor.

Anden con cuidado