Pica.N, gusano destructivo, se propaga por Correo y Chat, sobre-escribe archivos.   

© Jorge Machado  Lima-Perú

VSB_Pica.N, Win32/Pica.N@MM, I-worm.Pica.N

Pica.N, es un gusano reportado el 07 de Agosto del 2002, con efectos destructivos, que se propaga masivamente a través de mensajes de correo con un archivo anexado de 5.6 KB de nombre Sysboot.dll.vbs, con doble extensión. Se propaga a través de la Libreta de Direcciones de Microsoft Outlook, Outlook Express, los canales de Chat que usen los software mIRC, PIRCH y en las redes locales.  

Ha sido desarrollado con el VBSWG (Visual Basic Script Worm Generator), creado por [K]alamar.

Este gusano es un PE (Portable Ejecutable) que infecta los sistemas Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

 

Al activar el archivo infectado, el gusano copia el archivo SYSBOOT.DLL.VBS en el directorio de C:\Windows y para ejecutarse la próxima vez que se inicie el sistema agrega la siguiente llave de registro: 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SysBoot.dll = “%Windows%\SysBoot.dll.vbs”

%Windows% es una variable que corresponde a C:\Windows en Windows 9x/ME y a C:\Winnt en Windows NT\2000\XP. 

Inmediatamente verifica los valores de las siguientes entradas en el registro: 

[HKEY_CURRENT_USER\Software\Worm\mailed]

[HKEY_CURRENT_USER\Software\Worm\pirched] 

[HKEY_CURRENT_USER\Software\Worm\mirqued]

Si el valor de "mailed" no es igual a “1” envía los mensajes de correo y luego cambia el valor a “1”. 

Si el valor de "pirched" no es igual a “1” ejecuta su rutina de propagación PIRCH, crea el archivo EVENTS.INI o sobre-escribe los archivos existentes en la carpeta de PIRCH. Este archivo contiene las instrucciones para auto-enviar el archivo SYSBOOT.DLL.VBS  a todos los usuarios conectados en una misma sesión de Chat, infectando sus sistemas. Luego cambia el valor del registro a “1”. 

Si el valor de “mirqued” no es igual a “1”  ejecuta una rutina de propagación mIRC, crea el archivo SCRIPT.INI o sobre-escribe los archivos existentes en la carpeta de mIRC. Este archivo contiene las instrucciones para auto-enviar el archivo SYSBOOT.DLL.VBS  a todos los usuarios conectados en una misma sesión de Chat, infectando sus sistemas. Luego cambia el valor del registro a “1”. 

El gusano también verifica las unidades compartidas para su acceso de lectura/escritura. Si un drive puede ser escrito, el gusano busca todos los archivos con extensión .VBS y los sobre-escribe con copias de sí, manteniendo copias de respaldo de los archivos originales que ha sobre-escrito. 

PER ANTIVIRUS® versión 7.6 con registro de virus al 07 de Julio del 2002 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS