Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Piggi.B realiza las siguientes acciones:
- Utiliza técnicas de rootkit para ocultar sus archivos y así dificultar su detección.
- Finaliza los siguientes procesos, pertenecientes a programas antivirus, si se encuentran activos:
navapsvc
McShield
SymAppCore - Impide que se puedan actualizar los siguientes procesos pertenecientes a programas antivirus:
Aupdate.exe
Lual.exe
Metodo de Infección
Piggi.B crea los siguientes archivos:
- LSASS.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.
- IEXPLORE.EXE, en la subcarpeta INTERNET EXPLORER del directorio Archivos de programa, que es donde se encuentra el archivo original de Internet Explorer. Este archivo lo mueve a la subcarpeta DLLCACHE del directorio de sistema de Windows.
De esta manera, cada vez que ejecutemos Internet Explorer, primero se ejecuta Piggi.B y después Internet Explorer. - MSFSR.SYS, en el directorio de sistema de Windows.
- ??????.SYS, en la subcarpeta DRIVERS del directorio de sistema de Windows.
donde ?????? representa seis caracteres aleatorios.
Estos dos archivos corresponden a rootkits, que se encargan de ocultar los archivos creados por Piggi.B. - ZYXWVUTS.LOG, en el directorio raíz de la unidad C:. En este archivo se almacenan los nombres de los archivos que los rootkits deben ocultar.
Piggi.B crea las siguientes entradas en el Registro de Windows:
- HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
%nombre del archivo inicial ejecutado% = %ruta donde se haya ejecutado el archivo% - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
SvcHost = %sysdir%\lsass.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante estas entradas, Piggi.B consigue ejecutarse cada vez que Windows se inicia. - HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ msfsr
- HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ %archivo de 6 caracteres aleatorios%
- HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SvcHost
Mediante estas entradas, Piggi.B crea los servicios necesarios para activar los rootkits.
Método de Propagación
Piggi.B se propaga a través de correo electrónico y de programas de intercambio de archivos punto a punto (P2P).
1. Propagación a través de correo electrónico.
Para ello, realiza el siguiente proceso:
- Llega al ordenador en un mensaje de correo con las siguientes características:
Remitente:
%nombre aleatorio%@aol.com
%nombre aleatorio%@hotmail.com
%nombre aleatorio%@msn.com
%nombre aleatorio%@yahoo.com
updates@McAfee.com
updates@Microsoft.com
updates@Symantec.com
Asunto: es variable, y puede ser uno de los siguientes, entre otros:
Carmen Electra
casino
Final Fantasy XIII
Screensaver attached.
See the attachment
Puede consultar la lista completa de Asuntos aquí.
Contenido: crea textos aleatorios a partir de una lista de cadenas de texto que combina aleatoriamente.
Los siguientes son algunos ejemplos de los mensajes resultantes:
Mensaje 1
I discovered this amazing free deal on the web.
Your own Sony PlayStation 3 completely free.
See the attachment.
Mensaje 2
I saw this video of you on the web. I think you should open it straight away.
Mensaje 3
Unbeatable Poker strategy.
Archivo adjunto: tienen nombres variables. - El ordenador es afectado cuando se ejecuta el archivo adjunto.
2. Propagación a través de P2P.
Para ello, realiza el siguiente proceso:
- Crea copias de sí mismo en los directorios que contengan alguna de las siguientes cadenas de texto:
BearShare
Collections
Downloads
my shared folder
share
shared
upload
uploads
que son directorios compartidos pertenecientes a varios programas P2P. - Los nombres que utiliza para copiarse están formados por dos partes:
La primera parte: uno de los siguientes nombres:
1234567890
10,000 B.C., 28 Weeks Later, 30 Days of Night, 30 Rock season 2.
A
Across the Universe, Age of Conan-Hyborian Adventures, Alpha Dog, American Gangster, Angel-A, Angelina Jolie(unseen), Are We Done Yet?, Atonement, August Rush.
B
Balls of Fury, Because I Said So, Beowulf, Black Book, Blades of Glory, Breach, Britney Spears(unseen), Brother & Sisters season 2.
C
Captivity, Carmen Electra(unseen), Caution, Command & Conquer 3-Tiberium Wars, Company of Heroes, Criminal Minds - next season, CSI-London.
D
Dallas, Dancing with the Stars - next season, Death at a Funeral, Delta Farce, Desperados 2-Cooper's Revenge, Desperate Housewives - next season, Disturbia, Dragon Age, Dreamfall-The Longest Journey, Dungeons & Dragons Online-Stormreach.
E
Eastern Promises, El Cantante, Elder Scrolls IV-Oblivion, Enchanted, Enemy Territory-Quake Wars, Epic Movie, Evening.
F
Fantastic Four 2, Final Fantasy XIV, Firehouse Dog, Fly Me to the Moon, Foodfight!, Fracture, Fragile, Freedom Writers, Full Auto 2-Battlelines, Full of It.
G
Gears of War, Ghost Recon-Advanced Warfighter, Gilmore Girls season 8, God Grew Tired of Us, Gran Turismo HD, Grand Theft Auto IV, Grind House, Guild Wars-Factions.
H
Hairspray, Half-Life 2-Aftermath, Halloween, Hannibal Rising, Hellgate-London, Heroes of Might & Magic V, Hilary Duff(unseen), His Dark Materials-The Golden Compass, Horton Hears a Who, Hostel 2, Hot Fuzz, Hot Rod.
I
In the Land of Women, Inkheart, Iron Man.
J
Jennifer Lopez(unseen), Jessica Alba(unseen), Jessica Simpson(unseen), Journey 3-D, Jumper.
K
Kidnapped season 2, Kingdom Hearts 2, Kung Fu Panda.
L
La Vie en Rose, Lucky You, Lust.
M
Master of Time and Space, Metal Gear-Subsistence, Metroid Prime Hunters.
N
No Reservations.
O
Ocean's Thirteen, Offside, Okami, Opus-The Last Christmas.
P
Pamela Anderson(unseen), Paris Hilton(unseen), Pathfinder, Perfect Stranger, Pride, Pride & Glory, Prison Break season 3, Prom Night (2007).
R
Rainbow Six-Vegas, Red Steel, Reservation Road, Resistance-Fall of Man, Rise of Nations-Rise of Legends, Rocket Science, Rogue, Romeo & Juliet-Sealed with a Kiss.
S
S.T.A.L.K.E.R.-Shadow of Chernobyl, Scrubs - next season, Seven Day Itch, Severance, Shoot 'Em Up, Shooter, Skinwalkers, Slow Burn, Smokin' Aces, South Park season 11, Southland Tales, Splinter Cell Essentials, Splinter Cell-Double Agent, Spring Breakdown, Standoff season 2, Star Trek-Legacy, Star Wars-Empire at War, Starcraft-Ghost, Stardust, Stomp the Yard, Strange Wilderness, Strangers, Sunshine, Super Bad, Supreme Commander, Surf's Up.
T
Talk to Me, The Assassination of Jesse James, The Astronaut Farmer, The Dark Is Rising, The Flock, The Half Life of Timofey Berezin, The Hitcher, The Hoax, The Host, The Ice at the Bottom of the World, The Invasion, The Invisible, The Kingdom, The Last Legion, The Last Sin Eater, The Lives of Others, The Lord of the Rings-The Battle for Middle-earth II, The Messengers, The Namesake, The Nine season 2, The Number 23, The OC season 5, The Office season 4, The Reaping, The Simpsons, The Spiderwick Chronicles, The Transformers, The TV Set, The Ultimate Gift, The Valet, The Waterhorse, This Christmas, Til Death season 2, Too Human, Trade, Trick 'r Treat.
U
Ugly Betty season 2, Underdog, Untraceable.
V
Vacancy, Vanguard Saga of Heros, Vantage Point, Veronica Mars - next season, Vista, Vista Ultimate.
W
Whisper, Wild Hogs, Without a Trace - next season, Wonder Woman, World of Warcraft-The Burning Crusade.
Z
Zodiac.
La segunda parte: uno de los siguientes:
- Full.exe
- Keygen.exe
.avi.com
.iso.exe
.mp4.com
.zip.exe - Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Piggi.B, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
- Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Piggi.B.
Otros Detalles
Piggi.B tiene un tamaño de 73216 Bytes y está comprimido mediante Yodaprot.