Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: I.worm.PAMELA. Gusano de origen peruano en Visual Basic
 
VSantivirus No. 370 - Año 5 - Viernes 13 de julio de 2001

Nombre: I.worm.PAMELA
Tipo: Gusano de Internet
Origen: Perú
Tamaño: 36 a 43 Kb aprox.
Fecha: 10/jul/01

[Descripción realizada por Jorge Machado de Per Antivirus http://www.persystems.com  (Lima-Perú) y tomada con permiso de su autor]

El gusano PAMELA, reportado el 10 de Julio de 2001, en el Perú, está desarrollado en el lenguaje Microsoft Visual Basic e infecta sistemas Windows de 32 bits (95/98/Me/NT/2000). Ha sido comprimido haciendo uso de la utilidad de compresión ASPack, para generar mayor dificultad en su desensamblaje, por los desarrolladores de antivirus.

http://www.aspack.com

La extensión del archivo ejecutable original es de 37k, pero se han reportado variantes que difieren en su extensión: 36k, 42k, 43k, lo cual parece indicar que el código fuente de este gusano estaría siendo manipulado por varios autores. I.worm.PAMELA se empezó a difundir entre los usuarios de redes de centros de educación superior en la ciudad de Lima, pero ya varias empresas corporativas han empezado a reportarlo. 

Su peligrosidad radica en el hecho que nada impediría su propagación masiva a través de mensajes de correo electrónico, haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) desde un sistema infectado, auto-enviando a los buzones de correo de la libreta de direcciones de MS Outlook y Outlook Express.

Cuando el archivo PAMELA.EXE es ejecutado se auto-copia al directorio C:\WINDOWS\SYSTEM, con el nombre SCANREGW.EXE.

Luego modifica el registro de Windows para que el archivo sea ejecutado la próxima vez que se reinicie la PC:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Default = C:\Windows\System\ScanRegW.exe

Este gusano ocasiona los siguientes efectos y daños en un sistema infectado:

  • Si se realiza cualquier lectura/escritura a un disquete, se copia el archivo PAMELA.EXE a dicha unidad. Haciendo uso del Explorador de Windows se puede visualizar un archivo de 36 Kb con el icono de algunos archivos gráficos.

  • En forma aleatoria activa un caja de diálogo, la cual pregunta al usuario si desea formatear el disco C:

    PAMELA.EXE
     Desea formatear su disco C: ?
    [  OK  ]

  • Mueve el archivo COMMAND.COM desde el directorio raiz hacia la papelera de reciclaje.

  • Oculta la barra de tareas de Windows.

  • Desaparece el botón de Inicio de Windows.


(c) Jorge Machado
PER ANTIVIRUS
http://www.persystems.com
Lima-Perú

 

Copyright 1996-2001 Video Soft BBS