Worm/Pinom

病毒长度：23,552 Bytes

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me/2003

Worm/Pinom是用Delphi语方编写并经过UPX压缩的群发邮件蠕虫。它包含后门程序，可以通过连接IRC服务器监听远程指令。该病毒利用NetBIOS协议通过网络进行传播，使自己遍布局域网中没有设置口令或者弱口令的系统。

传播过程及特征：

1.复制自身为： %System%\\Cissi.exe

2.Windows 95/98/Me系统下：

修改系统配置文件System.ini，使病毒文件在每次系统启动后自动运行；

Windows NT/2000/XP/2003系统下：

将病毒文件加载在系统注册表中，使其在系统启动后自动运行，但由于病毒本身代码存在错误，使其无法正常写入系统注册表。

3.将自身添加到启动组中，使病毒文件自动运行。但由于错误此动作无法完成。

4.该病毒在系统中运行后，它会通过下列途径进行传播：

/后门：

该蠕虫会设法创建一个线程，加入IRC服务预定的频道irc.undernet.org。蠕虫会利用随机产生的昵称连接服务器，并试图连接6667端口，连接成功后将等待来自服务器的指令。

/网络共享：

该蠕虫会搜索可以被感染的计算机，利用NetBIOS的135，139和445端口连接任意的IP地址，然后，先不用口令尝试登录，如果失败，它会利用Guest ，Administrator，Owner，Root用户名，以及自带的口令列表进行测试，设法登录到该系统，并复制病毒文件。

/电子邮件：

蠕虫会从下列类型文件中搜索邮件地址，并存贮在系统目录下的Cissi.dll文件中：

.htt .rtf .doc .xls .ini .mdb .txt .htm .html

.wab .pst .fdb .cfg .ldb .eml .abc

.ldif .nab .adp .mdw .mda .mde .ade .sln .dsw

.dsp .vap .php .asp .shtml

然后，查找系统默认的DNS服务器地址，获取邮件服务器的IP地址，蠕虫将利用这个IP地址发送病毒邮件进行传播。

邮件的主题以及内容是随机的，附件为下列之一：

LovePoem.pif

Poem_collection.pif

Zipped_poems.exe

My Poems.txt.exe

Poems.pif

Sad Stories and Poems.pif

My Story.pif

The Poems.pif

Poems for you.pif

Only Poems.txt.pif