W32/Pagipef.I

Termina procesos, se conecta auan URL ubicada en China, intentando descargar un archivo infectado.

El gusano infecta todos los archivos ejecutables de las unidades de disco, dejando al sistema inoperativo.  

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP/Vista y Server 2003, escrito en Visual C++ y Assembler con una extensiones de 44KB y 9,397 bytes, respectivamente y comprimido con rutinas propias.

El gusano borra la siguiente sub-llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}]

también modifica las llaves de clases:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{450EC9C4-0F7F-407F-B084-D1147FE9DDCC}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IFOBJ.IfObjCtrl.1]

y las llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun" = "91"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type" = "72 00 61 00 64 00 69 00 6F 00 00 00 6F 00 78 00 00 00 00 00 62 00 00 00 6F 00 00 00 78 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 FC 00 27 00 EB 00 76 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0A 00 00 00 0A 00 00 00 58 00 01 00 08 00 01 00 11 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 FC 00 27 00 EB 00 76 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0A 00 00 00 14 00 00 00 22 00 01 00 08 00 01 00 12 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 FC 00 27 00 EB 00 76 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0A 00 00 00 1E 00 00 00 2C 00 01 00 08 00 01 00 13 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Component Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}]
"409" = "Controls safely scriptable!"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Component Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}]
"409" = "Controls safely initializable from persistent data!"

Al siguiente reinicio del equipo el gusano se copia a la raíz de todas las unidades de disco, incluso removibles desde la C:\ a la F:\ con el siguiente nombre de archivo:

[Unidad_de_disco]\pagefile.pif

Para ejecutarse cada vez que un disco es accedido, se auto-copia como:

[Unidad_de_disco]\autorun.inf

A continuación el gusano termina los procesos que tengas una de las siguientes cadenas:

• asm
• ida
• softice
• ollydbg
• metapad
• mozillauiwindowclass
• ieframe
• cabinetwclass
• 360

Finalmente se coneca a un sitio web ubicado en Beijing, China, usando un comando oculto dentro del Internet Explorer:

http://js.k0102.com/ad.[Censurado]

El gusano infecta todos los archivos ejecutables de las unidades de disco, dejando al sistema inoperativo.

PER ANTIVIRUS® versión 10.3 con registro de virus al 30 de Noviembre del 2007 detecta y elimina eficientemente este gusano.