|
W32/Feebs.FU@mm, I.worm.Feebs.FU@mm
Feebs.FU es un destructivo gusano/javascript residente en memoria, reportado el 26 de Abril del 2006, que se propaga a través de mensajes de correo Multi SPAM con remitentes falsos, asuntos aleatorios y contenido definido.Se propaga también en los servicios de redes Peer to Peer.
Libera el troyano JS/Feebs.FU que borra los valores de las llaves de registro de los antivirus que estuviesen instalados en el sistema e intenta descargar infructuosamente un gusano de diversos sitios web.
Infecta sistemas operativos Windows 98/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++, con una extensión variable.
El gusano extrae los buzones de la carpeta temporal del Internet Explorer, la Libreta de Direcciones de Windows (WAB) y se envía además a todos los buzones contenidos en los servicios de envío de correo basados en la web.
Emplea una técnica de propagación similar a variantes del gusano BAGLE, diferenciándose al descargar un JavaScript con códigos malignos en lugar de un troyano/backdoor, el cual copia a la carpeta %System%.
Haciendo uso de su propio motor SMTP (Simple Mail Transfer Protocol) se envía masivamente en mensajes con las siguientes características:
Remitente, Id[número_aleatorio] con uno de los siguientes dominios de correo basados en la web:
Asunto, uno de los siguientes:
Contenido:
ID: [cifra_aleatoria]
Password: [cadena_aleatoria]
Message is attached
Sincerely,
[firma_aleatoria]
Anexado, uno de los siguientes:
Al desempaquetarse en memoria libera un archivo con extensión .HTA que contiene el troyano JS_FEEBS.FU, que
Estos archivos contienen un archivo que es una copia del JS_FEEBS.IQ, cuyo nombre está compuesto por la combinación de las dos siguientes listas:
Al hacer click en el archivo éste se desempaqueta en memoria ejecuta un JavaScript y se copia a la carpeta %System% como:
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Para ocultar su proceso el gusano inserta el archivo Ms[dos_caracteres_aleatorios]32.dll dentro del EXPLORER.EXE y para para activarse cada vez que se re-inicie le sistema crea las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Ms[dos_caracteres_aleatorios]32.dll" = "[CLSID_aleatorio]"
[HKEY_CLASSES_ROOT\CLSID\[CLSID_aleatorio]\InprocServer32]
"@" = "%System%\Ms[dos_caracteres_aleatorios]32.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\[CLSID_aleatorio]\InprocServer32]
"@" = "%System%\Ms[dos_caracteres_aleatorios]32.dll"
crea además la siguiente llave de registro para monitorear los destinatarios de correo a los cuales se auto-envía masivamente:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSAG]
al siguiente inicio del equipo activa su rutina de envío masivo de correo Multi SPAM.
Para infectar vía redes Peer to Peer libera una copia de sí mismo en en las carpetas que tengan las cadenas Download o Share usando uno de los siguientes nombres de archivos:
Los archivos anteriores con formato ZIP al desempaquetarse en memoria liberan los siguientes archivos:
PER ANTIVIRUS® versiones 9.6 y 9.7 con registro de virus al 26 de Abril del 2006 detectan y eliminan este gusano/javascript.
