FAGLED, peligroso gusano se propaga por Correo, Chat y MS Messenger

© Jorge Machado  Lima-Perú

I-worm.Fagled, W32/Fagled@mm

Fagled es un gusano reportado el 22 de Enero del 2002 de alta propagación masiva en Internet a través de las más populares medios: mensajes de correo electrónico, vía el software de Chat mIRC y el Microsoft Messenger

El gusano se propaga en mensajes de correo con un archivo anexado de nombre LED.EXE, captura todas las direcciones de correo de archivos del sistema de diversas extensiones y se auto-envía haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface). 

Su formato de programación es lo que denominaríamos un perfecto PE (Portable Ejecutable) y debido a ello, infecta los sistemas operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

Los asuntos y contenidos de los mensajes auto-enviados son elegidos en forma aleatoria entre cualquiera de los siguientes formatos pre-definidos en el código del virus:

Asunto: check out my ePhoto Album
Contenido:

Asunto: LOL!
Contenido:

Asunto: Why sex feels so good?
Contenido: ;)

Asunto: this is how you remind me, WHAT I REALLY AM, I'm NOT LIKE YOU, SO SORRY!
Contenido:

Asunto: urgent!! you sent me a virus!
Contenido: Hi, I just received a email from you containing the highly destructive one of the following is randomly selected [W32/ToagDipust, W32/LlehmorfTaog.C, W32/LOAeSui.A, W32/String.!erehemittaergagnivahmi, W32/BadTrans, W32/LED, W32/Matrix, W32/AOL, W32/CockRoach, W32/Dunno.k] virus. It looks like your computer is infected with this dangerious virus, so i attached a cleaner to this e-mail to clean your computer from the virus...

Asunto: urgent!! you sent me a virus!
Contenido: Hi, I just received a email from you containing the W32/resudaB virus.
It looks like your computer is infected with this dangerious virus, so i attached a cleaner to this e-mail to clean your computer from the virus...

Asunto: haha
Contenido:

Asunto: Yo momma
Contenido: hey wassup?, check out this awwwesommmeee Yo momma joke generator, really funny, check it out!!
"Yo'momma so fat her nickname is 'DAMN'", LOL
o "Yo'momma so fat it say on her driver's license Picture continued on back!", LOL
o "Yo'momma so fat the highway patrol made her wear Caution! Wide Turn. !", LOL
o "Yo'momma so fat she has her own area code!", LOL
o "Yo'momma so fat she's got more Chins than a Hong Kong phone book!", LOL
o "Yo'momma so fat she shaves her legs with a lawn mower!", LOL
o "Yo'momma so fat when a cop saw her he told her Hey you two break it up!", LOL
o "Yo'momma so fat when she sweats everyone around her wears raincoats!", LOL
o "Yo'momma so fat she wears two watches because she's in two time zones!", LOL

Asunto: Abuse from account
Contenido: You have been caught on account

Asunto: Abuse from account
Contenido: You have been caught by the FBI for your account abuse, your local police office will contact you soon.

Si el usuario ejecuta el archivo LED.EXE, el gusano se auto-copia a la carpeta C:\Windows y para poder activarse la próxima vez que se inicie el sistema crea la siguiente llave en el registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\run]
W32/LED=C:\Windows\LED.EXE

Cada vez que se ejecute el gusano, éste enviará adicionalmente el siguiente mensaje:

To: webmaster@islam.com  (o To: master15@hotmail.com)
Subject: (_|_)
Body:: Christianzzz rule
Attachment: %exectuable name%.exe (typically LED.EXE)

Fagled busca en los sistemas locales o PC domésticas cualquier VbsScript y ejecuta los que encuentre. Luego, captura las direcciones de correo contenidas en los archivos .DBX, .MBX, .HTML, .IDX y .VBS y los auto-envía a todos los buzones de correo, para lo cual manipula y usa la interfaz de las librería MAPI.

El gusano también crea en el directorio raíz del disco, un archivo "log" denominado xirtaM.txt. Todos los archivos que no estén en uso, ubicados en la carpeta y sus sub-directorios del firewall personal ZoneAlarm, serán borrados.  

Asimismo, el gusano crea un script C:\mirc\script.ini en el caso que el usuario con el sistema infectado tenga instalado el software mIRC para comunicaciones vía Chat. Este script contiene las instrucciones para auto-enviar el gusano infectado a otros usuarios de este software que se encuentren conectados en una misma sesión de Chat. Esta infección tendrá un efecto multiplicador, la próxima vez que cualquier usuario con su sistema ya infectado se conecte a una nueva sesión.

El SCRIPT.INI es un archivo del software mIRC, capaz de afectar a éste y a cualquiera de los programas basados en las redes del IRC (Internet Chat Relay). Contiene comandos que permiten a otras personas controlar en forma remota las sesiones de IRC de un usuario infectado, observar las conversaciones que éste mantiene y otras acciones adicionales, tales como terminar o cancelar una conversación o sesión de Chat.

Este script se puede reproducir auto-enviándose a través de una transferencia DCC (Direct Control Command) y al hacerlo, toma ventaja de dos funcionalidades potencialmente peligrosas del mIRC: la configuración de recepción automática DCC (auto-DCC-get) y la ejecución automática de cualquier archivo llamado SCRIPT.INI que se encuentre en el directorio de instalación de la aplicación.

El SCRIPT.INI puede realizar, entre otras cosas, lo siguiente:

El gusano Fagled  también se propaga a través del servicio de mensajería instantánea Microsoft Messenger, haciendo uso de las las funciones de las librerías que provee el propio Microsoft Messenger.

La documentación acerca de la interfaz de programación que pueden manipular el MS Messenger se puede encontrar en:

http://msdn.microsoft.com/downloads/default.asp?url=/downloads/topic.asp?url=/msdn-files/028/001/359/topic.xml

PER ANTIVIRUS® versión 7.3 con registro de virus al 23 de Enero del 2002 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS