W32/Appix.B@mm, W32/Apbost@MM, I-worm.Appix.B,

Appix.B, gusano reportado el 17 de Octubre del 2002 de propagación masiva a través de mensajes de correo que infecta con tan solo leer el mensaje, al vulnerar el MIME exploit que ejecuta el archivo bajo la opción de vista previa del software de correo. El Asunto es el resultado de una combinación aleatoria de frases, así como sus archivos anexados con extensiones .EXE y .SCR, .con un promedio 82 KB (la misma que puede variar). Su contenido oculto, no es visible para los receptores.

Este gusano infecta archivos .PHP y PHTML files a los cuales agrega su código viral para poder propagarse a través de archivos .PHP, .PHTML, .HTM y .HTML con lo cual un usuario podrá ser contagiado al conectarse o visitar un sitio en la web que se encuentre infectado.

Está programado en Borland Delphi y es un PE (Portable Ejecutable) que  infecta los sistemas operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP aunque se han detectado no ser efectivo en algunas versiones de Windows 98.   

Los asuntos y contenidos de los mensajes auto-enviados son elegidos en forma aleatoria entre cualquiera de los siguientes formatos:

Asunto una de estas frases:

A nice Screensaver of
Ein netter Screensaver von
New Version of
Eine neue Version von

Seguidas de una de las siguientes:

BestTool
Pamela Anderson
Angelina Jolie
Anna Kournikova
Porn Screensaver
Sex ScreenSaver
TvTool
Flashget
WarezBoardAccess
Undelivarable Email
Brute Force Tool

Cuerpo del mensaje: oculto

Anexado uno de los siguientes archivos:

PamAnderson.scr
Jolie.scr
AnnaKournikova.scr
XXX.scr
FreeSex.exe
TvTool.exe
FlashGet.exe
WarezBoardAccess.exe
Undelivarablemail.exe 

Ejemplo de mensaje:

Al ejecutar el archivo anexado, el gusano se auto-copia a la carpeta C:\%WinDir% como Appboost.exe y para poder activarse cada vez que un archivo ejecutable es activado, incluyendo el propio gusano modifica la siguiente llave en el registro:

[HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command]
Default = C:\%WinDir%\appboost.exe "%1" %*

%windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

%1" % es un parámetro establecido por defecto en Windows 32 a todos los archivos ejecutables.  

Una vez activado el gusano, detiene los servicios de los siguientes antivirus y firewalls:

ANTIVIR
AVP32
AVPCC
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVA
PSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
AVPM
ALERTSVC
AMON
N32SCANW
NAVWNT
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F-PROT95
ACKWIN32
VETTRAY
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95
SCAN
VIRUS
LOCKDOWN2000
NORTON
MCAFEE
ANTIVIR
FIREWAL
VET95
SAFEWEB
WEBSCANX
ICMON
CFINET
AVP.EXE
ZONEALARM
AMON.EXE
PCCIOMON
PCCMAIN
POP3TRAP
WEBTRAP
AVSYNMGR
NMAIN
LUALL
LUCOMSERVER
IAMAPP
ATRACK
IAMSERV
PCFWALLICON
TDS2-98
TDS2-NT
VSECOMR
NISSERV
NISUM
F-PROT
AOL

El gusano posee su propio SMTP (Simple Mail Transfer Protocol) que incluye al protocolo POP (Post Office Protocol) y se auto-envía a todos los contactos del sistema infectado, haciendo uso de la Libreta de Direcciones de Windows (WAB) y los archivos que contienen las direcciones de correo de MS-Outlook y Outlook Express.

La vulnerabilidad del protocolo MIME (Multipurpose Internet Mail Extensions) consiste, en el caso que MS Outlook esté configurado con la opción de "Mostar panel de vista previa" activada, y consecuentemente será suficiente visualizar el mensaje, sin necesidad de ejecutar el archivo anexado, para infectar el sistema:

PER ANTIVIRUS® versión 7.7 con registro de virus al 17 de Octubre del 2002 detecta y elimina eficientemente este gusano.