PAMELA, gusano de diskette mueve COMMAND.COM oculta barra de tareas y menú de Inicio de Windows. 

© Jorge Machado  Lima-Perú

El gusano PAMELA, reportado el 10 de Julio del 2001, en el Perú, está desarrollado en el lenguaje Microsoft Visual Basic e infecta sistemas Windows de 32 bits (95/98/Me/NT/2000). Ha sido comprimido haciendo uso de la utilidad de compresión ASPack, para generar mayor dificultad en su desensamblaje, por los desarrolladores de antivirus. 

http://www.aspack.com

La extensión del archivo ejecutable original es de 37k, pero se han reportado variantes que difieren en su extensión: 36k, 42k, 43k, lo cual parece indicar que el código fuente de este gusano estaría siendo manipulado por varios autores. I.worm.PAMELA se empezó a difundir entre los usuarios de redes de centros de educación superior en la ciudad de Lima, pero ya varias empresas corporativas han empezado a reportarlo.  

Su peligrosidad radica en el hecho que nada impediría su propagación masiva a través de mensajes de correo electrónico, haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) desde un sistema infectado, auto-enviando a los buzones de correo de la libreta de direcciones de MS Outlook y Outlook Express.

Cuando el archivo PAMELA.EXE es ejecutado se auto-copia al directorio C:\Windows\System, con el nombre SCANREGW.EXE.

Luego modifica el registro de Windows para que el archivo sea ejecutado la próxima vez que se reinicie la PC:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
Default = C:\Windows\System\ScanRegW.exe

Este gusano ocasiona los siguientes efectos y daños en un sistema infectado:

- Si se realiza cualquier lectura/escritura a un diskette, se copia el archivo PAMELA.EXE a dicha unidad. Haciendo uso del Explorador de Windows se puede visualizar el siguiente gráfico:

- En forma aleatoria activa un caja de diálogo, la cual pregunta al usuario si desea formatear el disco C:

- Mueve el archivo COMMAND.COM desde el directorio raíz hacia la papelera de reciclaje. 
- Oculta la barra de tareas de Windows.
- Desaparece el botón de Inicio de Windows.

PER ANTIVIRUS® versión 7.0 registro de virus al 12 de Septiembre del 2001 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS