FEEBS.CZ destructivo JavaScript se propaga a través de sitios web o por mensajes Multi SPAM, etc.  

© Jorge Machado  Lima-Perú

Feebs.CZ/JavaScript

Feebs.CZ es un destructivo JavaScript reportado el 21 de Febrero del 2006, que se  propaga a través de diversos sitios web o vía mensajes de correo Multi SPAM.

Al activarse presenta aleatoriamente falsas pantallas de los sitios web de proveedores de correo gratuito, con un mensaje "no se puede mostrar la página o no existe una conexión disponible":

Los servicios involucrados son uno de los siguientes:

Mientras esta rutinas distraen al usuario, el JavaScript descarga el archivo userinit.exe y lo copia a la ruta C:\Recycled, lo decodifica y ejecuta en memoria. 

El gusano extrae los buzones de la carpeta temporal del Internet Explorer, la Libreta de Direcciones de Windows (WAB) y se envía además a todos los buzones contenidos en sistemas de correo basados en la web.

para activarse cada vez que se re-inicie le sistema crea las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer] 
"default" = "[dominio_de_sistema_infectado]" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\
Installed Components\{CD5AC91B-AE7B-E83A-0C4C-E616075972F3}] 
"Stubpath" = "C:\Recycled\userinit.exe" 

en caso que no pueda crear las mencionadas llaves para su auto-activación, el JavaScript se almacena en la carpeta %Startup%.

%Startup% es una variable que corresponde a C:\Windows\Menú Inicio\Programas\Inicio en Windows 95/98/Me/XP y a C:\Documents and Settings\carpeta_del_usuario\Menú Inicio\Programas\Inicio en Windows NT\2000\XP.

al siguiente inicio del equipo activa su rutina de envío masivo de correo Multi SPAM.

luego borra los valores de la mayoría de antivirus y software de seguridad de las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 

borra además los siguientes valores:

de la llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 

con lo cual, además de vulnerar el sistema infectado hace que su proceso de detección y remoción sea más difícil. Finalmente intenta descargar varios archivos conteniendo códigos malignos de una extensa relación de sitios web.

PER ANTIVIRUS® versión 9.6 con registro de virus al 21 de Febrero del 2006 detecta y elimina este JavaScript. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS