PILA, gusano/troyano enviado en forma oculta por E-mail y vía Chat

© Jorge Machado  Lima-Perú

VBS.Pila, VBS/Pila.A, I-Worm.Pila, Pilantra.i-Worm, Pilantra

Pila es un gusano y troyano, escrito en Visual Basic Scripts reportado el 15 de Noviembre del 2001, de gran difusión masiva en Internet, mediante el envío de mensajes a través de servidores de correo, vía Chat y estaciones LAN.

Se propaga con un archivo anexado de doble extensión de nombre PLATÔNICO.TXT.SHS.

Los archivos con extensión .SHS (Shell Scraps), son ejecutables de WINDOWS RUNDLL32, también conocidos como Scrap Object Files (Archivos Objeto Basura).

Un archivo copiado dentro de un documento abierto de Microsoft Office y luego copiado y empastado sobre el Escritorio de Windows (Desktop) crea un archivo "Scrap" con la extensión .SHS. Los archivos Scrap fueron creados para permitir que los textos y gráficos puedan ser arrastrados y colocados (drag and drop) dentro de las aplicaciones de Microsoft Office.

Su peligrosidad se incrementa ya que este nuevo archivo Scrap, puede ser renombrado con cualquier otra extensión y ejecutará el programa infectado, que contiene en forma oculta, al hacerle un doble click. 

Cuando es distribuido a través del correo electrónico, transferido como mensaje dentro de la Red u otro medio basado en la Web, la extensión .SHS se hace visible, pero una vez que es grabado al disco duro, desaparecerá otra vez. Al tener estas características, puede ocultar archivos ejecutables, mayormente usados como troyanos en los sistemas operativos Windows de 32 bits.

El gusano tiene una extensión de 27.9 kb, e infecta todos los sistemas operativos Microsoft Windows 98/NT/Me/2000, incluyendo los servidores NT/2000.   
 
El texto del mensaje es el siguiente:
 

Los asuntos o temas del mensaje contienen diversos textos elegidos aleatoriamente del cuerpo del gusano:

Texto imperdível!
Texto muito engraçado!
O melhor texto que li nos últimos tempos...

Adicionalmente, se envía a través de los canales de chat que usan los software del mIRC y Pirch

Al ser ejecutado, el gusano verificará la presencia del archivo C:\File0004.CHK. Si no lo encuentra creará el archivo  PLATÔNICO.TXT y mostrará un texto en  portugués con referencias sexuales explícitas a través del Bloc de Notas:

 
A continuación  se auto-copia al directorio C:\Windows con los nombres:

C:\Windows\Explorer.dll.Vbs

C:\Windows\PLATÔNICO.TXT.SHS
Para asegurarse de ser ejecutado cada vez que se inicie el sistema, modifica el archivo SYSTEM.INI en el Boot Shell, agregándole la línea:

[boot]
shell=explorer.exe explorer.dll.vbs

Luego crea un archivo llamado File0004.CHK en el directorio raíz de la unidad C: para marcar que el sistema ya ha sido infectado.

El gusano emplea 3 métodos para propagarse:

1. Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), desde el sistema infectado se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook.

 
2. A través de todas las unidades de redes disponibles, incluyendo las compartidas, auto-copiándose con el nombre:

PULGA.TXT.SHS

3. A través del canal de chat mIRC copia un componente troyano IRC de 3,4 kb de extensión, el cual permitirá que un atacante remoto pueda ingresar sin restricciones a la PC infectada o Servidores, tomando el absoluto control de los mismos y permitiéndole, entre otras cosas:


   - Obtener una lista de directorio y archivos.
   - Leer el contenido de los archivos de cualquier directorio.
   - Recibir notificaciones del canal de IRC desde las PCs infectados.

PER ANTIVIRUS® versión 7.2 con registro de virus al 15 de Noviembre del 2001 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS