Pimaf

Pimaf, gusano ruso de propagación masiva, satura servidores, estaciones y PC domésticas

I-worm.Pimaf, W32/Pimaf@mm

Este gusano reportado el 15 de Abril del 2001, supuestamente creado en Rusia, tiene una amplia capacidad de propagación masiva debido a que emplea su propio y complejo protocolo de envío de correo SMTP, con el propósito de saturar los servidores WEB y LAN, estaciones de trabajo y PC domésticas.

Se propaga en mensajes con un archivo anexado de nombre MyNewPics.PIF con una extensión de 51.5 KB.

Hola finalmente conseguí nuevas fotos mías escaneadas y las puse en este Archivo de Fotos (PIF) Hazme saber tu opinión :-)

Pimaf está desarrollado en MS Visual C++, con formato PE (Portable Ejecutable) y está empaquetado con el poderoso utilitario PEBundle:

http://www.collakesoftware.com/PEBundle/CSPEBundle.htm

Esta herramienta genera archivos ejecutables enlazados a complejos códigos binarios, que pueden ejecutarse en memoria dinámica, sin necesidad de ser extraídos del disco.

Debido a lo anterior infecta todos los sistemas operativos operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

Al ser ejecutado, el gusano muestra la siguiente ventana:

La imágen está malograda y no puede ser mostrada. Tú puedes desear obtener una nueva copia de la imágen e inténtalo otra vez.

El gusano se copia a la carpeta C:\Windows y para ser ejecutado la próxima vez que se re-inicie el sistema modifica la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows_\CurrentVersion\Run]
"(crude string)" = C:\WINDOWS\MyNewPics.PIF

El gusano extrae todas las direcciones de correo que se encuentren dentro de la carpeta de "Elementos Enviados" de MS Outlook Express: "bandeja de salida.dbx" y cuenta con su propio SMTP (Simple Mail Transfer Protocol) para su auto-envío masivo de mensajes basado en codificación Base64.

La codificación Base64 es un complejo diseño de secuencias arbitrarias de octetos en un formato que no puede ser leído normalmente. Para este propósito se emplea un sub-categoría de 65 caracteres [A-Za-z0-9+/=] de codificación ASCII (American Standard Code for Information Interchange), habilitando 6 bits para ser representados por caracteres imprimibles.

Adicionalmente las funciones de las librería SMTP (Simple Mail Transfer Protocol) que incluye al protocolo POP (Post Office Protocol) empleado para extraer mensajes de correo de otros servidores, son copiadas por el gusano, a la carpeta C:\Windows\System, donde se encuentra la librería SEE32.DLL que es una motor de envío de mensajes de correo SMTP/POP3.

PER ANTIVIRUS® versión 7.4 actualizado al 16 de Abril del 2002, detecta y elimina eficientemente este gusano.