Il software di sicurezza è disabilitato dal worm Pintae

Il worm Pintae.A si diffonde tramite e-mail e condivisioni di rete. Il pericolo principale è che disabiliterà le applicazioni di sicurezza in esecuzione su Windows.

Il worm Pintae.A modifica il registro dopo aver creato diversi file. Ciò rende, tra l'altro, inaccessibili il Task Manager e l'editor del registro. Modifica anche le impostazioni in Esplora risorse.

Pintae.A interrompe i processi per vari software di sicurezza e si inoltra agli indirizzi e-mail raccolti dalla rubrica di Windows. Il worm tenta anche di infettare altri computer tramite condivisioni di rete.

Pintae.A crea anche un file che raccoglie molte informazioni di sistema. Questo memorizza, tra le altre cose, il nome del computer, le informazioni sull'utente, le impostazioni della posta e l'ora dell'infezione.

Quando il worm Pintae.A si avvia, esegue le seguenti azioni:

1. Creare i seguenti file:
% UserProfile% \ Start Menu \ Programmi \ Avvio \ MSKernell.bat
% System% \ AutoRun.bat
% Windir% \ Esci da DosPrompt.pif
Readme.scr (nella directory principale dell'unità C e D)
info.txt (nella directory principale delle unità C e D)

2. Carica le seguenti informazioni nel file info.txt:
Nome utente
Nome del computer
- Indirizzo del server POP3
- Informazioni SMTP
- data e ora dell'infezione

3. Il database di registrazione
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
aggiunge alla tua chiave
“NOYPI_KANG_ASTIG” = “%Windows%\Esci su DosPrompt.pif”
"taetae" = valori "%Windows%\Esci a DosPrompt.pif".

4. Il database di registrazione
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ RunServices
aggiunge alla tua chiave
“TANG_INA_MO” = “%System%\AutoRun.bat”
“taengtae” = valori “%System%\AutoRun.bat”.

5. Il database di registrazione
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
nella chiave cambia il
“DisableTaskMgr” = “1”
"DisableRegistryTools" = valori "1".

6. Il database di registrazione
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer
nella chiave cambia il
“NoFolderOptions” = “1”
“NoFind” = valori “1”.

7. Il database di registrazione
HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Internet Explorer
nella chiave cambia il
“Restrizioni NoFindFiles” = “1”.

8. Raccogliere gli indirizzi e-mail dalla Rubrica di Windows e inoltrarli a loro.

Il soggetto delle foglie infette può essere:
Messaggio.CDO
FILIPPINO \\ ”SEGRETI
I miei documenti
Nuove informazioni sui virus
Il governo delle Filippine Top Secret Philippines
Informazioni sul virus TaeTae

Il nome del file dell'allegato di posta infetto può essere:
DATA.DOC.exe
DOCUMENTO.DOC.exe
INFO.DOC.exe
LEGGIMI.DOC.exe
TAETAE.TXT.exe

9. Arresta i processi associati al software di sicurezza.