Feebs.AF

FEEBS.AF gusano/JavaScript de Correo Multi SPAM y redes Peer to Peer infeta Explorer.exe.

W32/Feebs.AF@mm, I.worm.Feebs.AF@mm

Feebs.AF es un destructivo gusano/javascript reportado el 16 de Enero del 2006, que se propaga a través de mensajes de correo Multi SPAM con remitentes falsos, Asuntos aleatorios y Contenido definido.

Se propaga también en los servicios de redes Peer to Peer.

Infecta sistemas operativos Windows 98/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++, con una extensión variable.

El gusano extrae los buzones de la carpeta temporal del Internet Explorer, la Libreta de Direcciones de Windows (WAB) y se envía además a todos los buzones contenidos en el cTmail y sistemas de servicios de envío de correo basados en la web.

Emplea una técnica de propagación similar a variantes del gusano BAGLE, difrenciándose en descargar un JavaScript con códigos arbitrarios en lugar de un troyano/backdoor, el cual copia a determinada ruta de los sistemas afectados.

Haciendo uso de su propio motor SMTP (Simple Mail Transfer Protocol) se envía masivamente en mensajes con las siguientes características:

Remitente, Id[número_aleatorio] con uno de los siguientes dominios de correo basados en la web:

@aol.com
@gmail.com
@hotmail.com
@msn.com
@yahoo.com

Asunto, la combinanción de las siguientes cadenas:

[Cadena_1]

Encrypted
Extended
Protected
Secure

[Cadena_2]

E-mail
Html
Mail
Message

[Cadena_3]

[Vacío]
From [dominio_aleatorio] user
Service
Service [dominio_aleatorio]
System

Contenido:

happy new year
ID: [aleatorio]
Password: [aleatorio]
Message is attached.

Best Regards,
[nombre_idéntico_al_del_Remitente],
[nombre_idéntico_al_dominio_del_Remitente]

Anexado, uno de los siguientes:

mdata.zip
mail.zip
message.zip
msg.zip

Estos archivos contienen un archivos compuesto por una de las cadenas y la extensión .HTA, que es una copia del JS_FEEBS.AF, cuyo nombre está compuesto por la combinanción de las dos siguientes listas:

Lista 1:

Encrypted
Extended
Protected
Secure

Lista 2:

E-mail
Html
Mail
Message

Al hacer click en el archivo éste se desempaqueta en memoria y ejecuta un JavaScript y se copia a la carpeta %System% como:

Ms[dos_caracteres_aleatorios] (copia del gusano)
Ms[dos_caracteres_aleatorios].exe (copia del gusano)
Ms[dos_caracteres_aleatorios]32.dll (copia del gusano)

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para ocultar su proceso el gusano inserta el archivo Ms[dos_caracteres_aleatorios]32.dll dentro del EXPLORER.EXE y para para activarse cada vez que se re-inicie le sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{random CLSID}\InprocServer32]
@ = "%System%\Ms[dos_caracteres_aleatorios]32.dll"

adicionalmente agrega las siguientes sub-llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\ShellServiceObjectDelayLoad]
Ms[dos_caracteres_aleatorios]32.dll = "[CLSID_aleatorio]"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS[dos_caracteres_aleatorios]\dat]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS[dos_caracteres_aleatorios]\sdat]

al siguiente inicio del equipo activa su rutina de envío masivo de correo Multi SPAM.

para infectar vía redes Peer to Peer busca las carpetas con las cadenas:

downloads
share
incoming

a las cuales se copia como:

3dsmax_9_(3D_Studio_Max)_new!_full+crack.zip
ACDSee_9_new!_full+crack.zip
Adobe_Photoshop_10_(CS3)_new!_full+crack.zip
Adobe_Premiere_9_(2.0_pro)_new!_full+crack.zip
Ahead_Nero_8_new!_full+crack.zip
DivX_7.0_new!_full+crack.zip
ICQ_2006_new!_full+crack.zip
Internet_Explorer_7_new!_full+crack.zip
Kazaa_4_new!_full+crack.zip
Longhorn_new!_full+crack.zip
Microsoft_Office_2006_new!_full+crack.zip
winamp_5.2_new!_full+crack.zip

PER ANTIVIRUS® versiones 9.5 y 9.6 con registro de virus al 16 de Enero del 2006 detecta y elimina este gusano/javascript.