Pibi.B

PIBI.B, de propagación masiva vía Correo, Chat y redes compartidas, deshabilita antivirus y firewalls.

W32/Pibi.B@MM, I-worm.Pibi.B

Pibi.B es un gusano reportado el 31 de Octubre del 2002, variante de Pibi, de alta propagación masiva a través de mensajes de correo, pues uno de sus formatos es aparentemente enviado por Microsoft, conteniendo un supuesto parche para Windows XP, dentro de un archivo anexado de nombre install.exe, aunque aleatoriamente se propaga con un segundo formato.

Además se difunde vía Chat y las redes de archivos compartidos Kazaa, Morpheus, BearShare y eDonkey.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

Pibi.B ha sido desarrollado en lenguaje Visual C++, tiene 30 KB de extensión y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables) para dificultar su detección:

http://upx.sourceforge.net

Los formatos de correo son los siguientes:

De: <dirección_del_usuario>
Asunto: Re: hya
Mensaje: Istall the program in the attachment.
Anexado: install.exe

Al ser ejecutado el archivo infectado, el gusano se auto-copia a la carpeta C:\Windows\System con el nombre winsysnnn.exe (el valor nnn es un número aleatorio de 3 dígitos) y crea la siguiente llave de registro, a manera de marca de infección.

[HKLM\Software\PieceByPieceB]
inf = "yep"

Para activarse la próxima vez que se inicie el sistema, genera la siguiente llave de registro:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
default = Kernel32.dll

El gusano anulará los procesos de ejecución de antivirus y firewalls que tengan las siguientes sub-cadenas:

AV
F-
av
NOD32
SCAN
MON
ALERT
ANTIVIR
PCCW
PCC
FP-
TRAP
TDS2-
VET
SWEEP
MCAFEE
FIREW DVP
CFI
ICL
VSHW

Luego se auto-copiará a las carpetas de redes compartidas Kazaa, Morpheus, BearShare and eDonkey2000, para infectar a los usuarios que se conecten a las mismas, con uno de los siguientes nombres:

wmplay9.exe
wamp3.exe
winxpserial.exe
kmd22.exe

También se autocopia a la carpeta C:\Windows\System con el nombre "w32sysnnn.zip" (el valor nnn es un número aleatorio) y si el compresor WinZip se encuentra instalado en el sistema, el gusano alterará las instrucciones del script.ini, en caso que el usuario tenga instalado el software mIRC para Chat. El sistema infectado automáticamente se conectará al canal #pbpB de chat.

Este script contiene las instrucciones para auto-enviar el gusano infectado, bajo formato .ZIP a otros usuarios que se encuentren conectados en una misma sesión de Chat.

Luego copia el código viral con codificación Base64 en el archivo C:\boot64.bin y procede a envíos masivos de los mensajes detallados a las direcciones de correo capturadas en los archivos con extensión *.htm de la carpeta "Archivos Temporales de Internet".

La codificación Base64 es un complejo diseño de secuencias arbitrarias de octetos en un formato que no puede ser leído normalmente. Para este propósito se emplea un sub-categoría de 65 caracteres [A-Za-z0-9+/=] de codificación ASCII (American Standard Code for Information Interchange), habilitando 6 bits para ser representados por caracteres imprimibles.

Pibi.B muestra la siguiente caja de diálogo:

El gusano invoca a la función API del RegisterServiceProcess (Proceso de Registro de Servicios), con el objeto de auto-esconderse de la lista de tareas para poder seguir infectando. También ejecutará su rutina de envío masivo de mensajes, configurando el reloj para que esta rutina sea ejecutada cada 50 segundos.

El 18 de Octubre el gusano mostrará la siguiente caja de diálogo:

PER ANTIVIRUS® versión 7.7 con registro de virus al 31 de Octubre del 2002 detecta y elimina eficientemente este gusano.