病毒名称:Worm/Pinom.a
中 文 名:派诺
病毒长度:23k
病毒类型:蠕虫
危害等级:★★
影响平台:Win 9x/2000/XP/NT/Me/2003
Worm/Pinom.a“派诺”是一个利用Delphi语言编写并经UPX压缩的邮件群发蠕虫。该蠕虫带有后门功能,可连接IRC服务器,侦听并执行黑客指令。并可通过NetBIOS协议感染局域网中的缺省或弱密码系统。病毒运行后,首先自我复制到系统文件目录下。针对Windows 9x/Me操作系统,修改系统配置文件System.ini,实现病毒程序的开机自启;针对Windows NT/2000/XP/2003操作系统,将加载病毒文件到注册表启动项中,实现病毒程序的开机自启。“派诺”是一个多线程蠕虫,可在用户计算机系统内同步执行多个行为。该蠕虫创建一个线程,利用随机产生的昵称加入到IRC服务器指定频道中,并连接6667端口,侦听黑客指令。创建另一个线程,在网络中搜索可以被感染的计算机,利用NetBIOS 135,139和445端口连接任意的IP地址,尝试用缺省密码登陆。并可利用密码字典,破解用户弱密码。设置病毒运行计划,实现病毒程序在远程计算机上的自动更新及运行。该蠕虫在用户计算机中搜索以.txt 、.htm 、.html 、.htt、.doc 、.xls 等为后缀的文件,获得大量有效邮件地址。将获得的地址存贮在系统目录下的Cissi.dll文件中,并查找系统默认的DNS服务器地址,获取邮件服务器的IP地址,该蠕虫将利用这个IP地址发送带毒邮件。邮件的主题及内容是随机的,用英文编写。附件(即病毒程序)可能为:LovePoem.pif、My Poems.txt.exe 或Only Poems.txt.pif等,附件中的“.txt”为一个虚假后缀,病毒程序借此将自己伪装为一个文本文件以欺骗用户。
