Pkasa

PKASA, gusano de propagación masiva, vía Correo, Chat, Kazaa, Redes compartidas y diskettes.

W32/Pkasa@mm, I-worm.perkasa@mm

Pkasa es un gusano reportado el 24 de Enero del 2003, de propagación masiva, a través de mensajes de correo con diversos Asuntos, Contenidos y archivos anexados con extensión .ZIP. Infecta además unidades de disco de Redes compartidas, vía el IRC (Internet Chat Relay), la popular red P2P Kazaa y diskettes.

Su autor es Iwing, webmaster del portal de creadores de virus de Indonesia:

http://www.indovirus.net (actualmente clausurado)

Es un Visual Basic Script de 116 KB empaquetado, que libera archivos ejecutables e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP aunque algunos "bugs" en su programación hacen que no tenga éxito en versiones de Windows NT y 2000 que estén actualizados con los últimos parches.

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

Los mensajes tienen varios formatos, contenidos dentro del código del gusano:

Asunto, es elegido de una de las siguientes frases:

Thank You !
The E.A.S.E System Can Make You Money At Home!!
Free Software, Download it now !!
Confirmation Email - Required !
Free MP3. OGG/VORBIS Hit Songs !!
Re: Your Daily Report
You are Losing Income
Download DVD Movie Now !! Its Free..!
WHY NOT CHECK IT OUT? IT'S FREE!

Anexados, archivos con extensión .ZIP elegidos de los siguientes nombres:

BONUS.ZIP
REPORT.ZIP
FREEPIC.ZIP
FREEJOIN.ZIP
FFA.ZIP

Al desempaquetarse estos archivos se convierten en uno de los siguientes archivos que son copias del gusano:

SEXY.EXE
REPORT.EXE
FISTING.EXE
FREEJOIN.EXE

Contenido1:
Have I peaked your curiosity?
This is something that I think that anyone who is serious about marketing and being on the internet should check out.

Save it Now !

Contenido2:
Hello!

Need a quick $100 today?
Need a quick $500 this week?
Need to QUICKLY build a $5,000 monthly income?

Download the attachment now !

Contenido3:
The Mastercard Stored Value Card is good anywhere in the world that Mastercard is accepted! APPLY NOW AND GET $20 FREE!!
Download it Now And Get free Bonus!

Al ejecutar el archivo anexado, muestra un falso mensaje de error:

Al hacer click en "OK" el gusano se auto-copia al directorio %Windir% con los siguientes nombres:

%Windir%\KERNELW32.EXE
%Windir%\BLANK.SCR

Del mismo modo lo hace en C:\ con 2 variantes:

C:\SEXY.EXE
C:\FISTING.EXE

Para ejecutarse la próxima vez que se inicie el sistema el gusano crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Kernelw" = %Windir%\Kernelw32.exe

Asimismo se agrega al archivo WIN.INI:

[windows]
load=C:\WINDOWS\Kernelw32.exe

[WORM]
Name=I-WORM.PERKASA
Author=Iwing/Indovirus

Igualmente se auto-copia con el nombre BLANK.SCR al archivo SYSTEM.INI, sección de arranque, con el nombre SCRNSAVE.EXE para activarse cada vez que se inicie el sistema:

[boot]
SCRNSAVE.EXE=%Windir%\Blank.scr

El gusano además libera un archivo en el directorio raíz, con el nombre C:\ZIP.COM y otro archivo T.BAT es copiado al directorio %Windir%, los mismos que son usados para comprimir los archivos con extensión .ZIP que se anexan a los mensajes de correo propagados masivamente.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

El gusano intenta terminar con los procesos de una extensa lista de antivirus, firewalls y programas de monitoreo que se encuentren instalados, dejando totalmente vulnerable al sistema.

Luego crea múltiples copias de sí mismo en las unidades de disco de las Redes Locales, de nombres aleatorios con cualquiera de las siguientes extensiones:

EXE
SCR
LNK
DOC
XLS
JPG
MP3
MPG
HTM
HTML

Del mismo modo el gusano se auto-copia a los diskettes que estén insertados y a las unidades de red activadas, con nombres de archivos de doble extensión:

ASIAN106.JPG.EXE
SEXYGIRLS749.JPG.EXE
LESBIAN606.JPG.SCR
LOLITA16451450.JPG.EXE
Etc.

Para infectar a través de la red Kazaa el gusano genera múltiples copias de si mismo en la carpeta de archivos compartidos:

C:\Archivos de programa\KaZaA\My Shared Folder\

con los siguientes nombres de archivos:

AMATEURE686146203.Jpg.exe
ANTIVIRAL.EXE
ASIAN462572179.Jpg.exe
AVUPDATE.EXE
FREE_FIREWALL.EXE
Fetish227628495.Jpg.exe
Fisting282627155.Jpg.exe
Girls673729390.Jpg.exe
LIVEUPDATE.EXE
Lolita16451450.Jpg.exe
MCAFEE.EXE
NAVUPDATE.EXE
NUDE85872349.Jpg.exe
PASSWORD.EXE
PIC909599469.Jpg.exe
Preeteens322361381.Jpg.exe
SEXSHOW.EXE
SEXY789731202.Jpg.exe
XPPatch.exe

Para difundirse por el IRC (Internet Chat Relay) el gusano libera un script MIRC.INI de apenas 2.2 KB, en la carpeta del software mIRC, con el cual enviará copias empaquetadas con su código viral, en un archivo de nombre FREEPIC.ZIP, el cual infectará a todos los usuarios que se conecten a una misma sesión de Chat, con un efecto multiplicador.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
Deshabilitad antivirus, firewalls y utilitarios de monitoreo.
Infecta unidades de disco de Redes Locales compartidas y diskettes.
Infecta vía Kazaa.
Librea un script de nombre MIRC.INI para infectar via Chat.

PER ANTIVIRUS® versión 7.8 y 7.9 con registro de virus al 24 de Enero del 2003 detecta y elimina eficientemente este gusano.