W32/Pibi@MM, W32/Pepex@MM, I-worm.Pibi

Pibi es un gusano reportado el 13 de Septiembre del 2002 de alta propagación masiva en Internet a través de  mensajes de correo electrónico, vía el canal de Chat IRC y de la popular red de archivos compartidos Kazaa. 

El gusano se propaga en uno de 3 formatos de mensajes de correo con un archivo anexado de nombre setup.exe, uno de los cuales simula haber sido enviado por Microsoft, conteniendo un supuesto parche para una vulnerabilidad del navegador Internet Explorer.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

Está desarrollado en Visual C++, con una extensión de 30 KB y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Los formatos de correo son los siguientes:

De: <dirección_del_usuario>
Asunto: Hello
Mensaje: You will find all you need in the attachment.
Anexado: setup.exe

De: john@barrysworld.com
Asunto: Hello
Mensaje: You will find all you need in the attachment.
Anexado: setup.exe

De: "Microsoft" <information@microsoft.com>
Reply-To: "Microsoft" <microsoft@microsoft.com>
Asunto: Internet Explorer vulnerability patch
Mensaje: You will find all you need in the attachment.
Anexado: setup.exe

Al ser ejecutado el archivo infectado, el gusano se autocopia la carpeta C:\Windows\System con el nombre de winsysnnn.exe (el valor nnn es un número aleatorio de 3 dígitos) y para activarse la próxima vez que se inicie el sistema, genera la siguiente llave de registro:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Windows = "task32 sys" 

El gusano intenta anular los procesos de ejecución de los programas que tengan la sub-cadena "AV" (mayormente relacionada a los software antivirus. Luego crea la siguiente llave de registro:

[HKLM\Software\RedCell\infected]
"Yes" 

También se autocopia a la carpeta C:\Windows\System con el nombre "win32sysnnn.zip" (el valor nnn es un número aleatorio) y si el  compresor WinZip se encuentra instalado en el sistema, el gusano alterará las instrucciones del script.ini, en caso que el usuario tenga instalado el software mIRC para Chat.

Este script contiene las instrucciones para auto-enviar el gusano infectado, bajo formato .ZIP a otros usuarios que se encuentren conectados en una misma sesión de Chat.

Asimismo el gusano se auto-copia a la carpeta de  Kazaa con los siguientes nombres:

• mirc6.exe
• winamp3.exe
• wincrack.exe
• icq2002.exe 

Luego copia el código viral en formato de codificación Base64 en el archivo C:\Msbootlog.sys, el cual usará para crear los archivos anexados a los mensajes que serán enviados a los buzones de correo hallados en los archivos con extensión .HTM de la carpeta "Archivos Temporales de Internet".

La codificación Base64 es un complejo diseño de secuencias arbitrarias de octetos en un formato que no puede ser leído normalmente. Para este propósito se emplea un sub-categoría de 65 caracteres [A-Za-z0-9+/=] de codificación ASCII (American Standard Code for Information Interchange), habilitando 6 bits para ser representados por caracteres imprimibles. 

La información relacionada a la cuenta de correo y del servidor SMTP es capturada del registro, en caso contrario el gusano usa una dirección codificada con su propio servidor SMTP: 

<john@barrysworld.com> / smtp.barrysworld.com, configurado para enviar mensajes cada 50 segundos.

El gusano muestra la siguiente caja de diálogo:

Si la fecha es 15 de Septiembre, mostrará la siguiente ventana:

El SCRIPT.INI es un archivo capaz de afectar a todos los programas basados en las redes del IRC (Internet Chat Relay). Contiene comandos que permiten a otras personas controlar en forma remota las sesiones de IRC de un usuario infectado, observar las conversaciones que éste mantiene y otras acciones adicionales, tales como terminar o cancelar una conversación o sesión de Chat.

Este script se puede reproducir auto-enviándose a través de una transferencia DCC (Direct Control Command) y al hacerlo, toma ventaja de dos funcionalidades potencialmente peligrosas del mIRC: la configuración de recepción automática DCC (auto-DCC-get) y la ejecución automática de cualquier archivo llamado SCRIPT.INI que se encuentre en el directorio de instalación de la aplicación.

El SCRIPT.INI puede realizar, entre otras acciones, lo siguiente:

• Re-direccionar todos los mensajes enviados por el usuario, en forma abierta o privada a otro canal.
• Interrumpir la sesión de IRC cuando otra persona ejecute un comando determinado.
• Permitir el acceso total al sistema del usuario afectado, a través de algún tipo de aplicación como el fserve, al enviar remotamente cualquier comando predefinido.
• Bloquear o alterar mensajes procedentes del o de los sistemas infectados.
• Enviarse en forma automática a otros usuarios.  

PER ANTIVIRUS® versión 7.6 y 7.7 con registro de virus al 13 de Septiembre del 2002 detecta y elimina eficientemente este gusano.