Feebs.IQ

FEEBS.IQ gusano/JavaScript de Correo Multi SPAM y redes Peer to Peer infecta Explorer.exe.

W32/Feebs.IQ@mm, I.worm.Feebs.IQ@mm

Feebs.IQ es un destructivo gusano/javascript reportado el 27 de Enero del 2006, que se propaga a través de mensajes de correo Multi SPAM con remitentes falsos, Asuntos aleatorios y Contenido definido.

Se propaga también en los servicios de redes Peer to Peer.

Infecta sistemas operativos Windows 98/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++, con una extensión de 55KB.

El gusano extrae los buzones de la carpeta temporal del Internet Explorer, la Libreta de Direcciones de Windows (WAB) y se envía además a todos los buzones contenidos en el cTmail y sistemas de servicios de envío de correo basados en la web.

Emplea una técnica de propagación similar a variantes del gusano BAGLE, diferenciándose en descargar un JavaScript con códigos arbitrarios en lugar de un troyano/backdoor, el cual copia a determinada ruta de los sistemas afectados.

Haciendo uso de su propio motor SMTP (Simple Mail Transfer Protocol) se envía masivamente en mensajes con las siguientes características:

Remitente, Id[número_aleatorio] con uno de los siguientes dominios de correo basados en la web:

aol.com
gmail.com
hotmail.com
msn.com
yahoo.com

Asunto, la combinación de las siguientes cadenas:

[Cadena_1]

Encrypted
Extended
Protected
Secure

[Cadena_2]

E-mail
Html
Mail
Message

[Cadena_3]

[Vacío]
From [dominio_aleatorio] user
Service
Service [dominio_aleatorio]
System

Contenido:

happy new year
ID: [aleatorio]
Password: [aleatorio]
Message is attached.

Best Regards,
[nombre_idéntico_al_del_Remitente],
[nombre_idéntico_al_dominio_del_Remitente]

Anexado, uno de los siguientes:

data.zip
mail.zip
message.zip
msg.zip

Estos archivos contienen un archivo que es una copia del JS_FEEBS.IQ, cuyo nombre está compuesto por la combinación de las dos siguientes listas:

Lista 1:

Encrypted
Extended
Protected
Secure

Lista 2:

E-mail
Html
Mail
Message

Al hacer click en el archivo éste se desempaqueta en memoria ejecuta un JavaScript y se copia a la carpeta %System% como:

Ms[dos_caracteres_aleatorios] (copia del gusano)
Ms[dos_caracteres_aleatorios].exe (copia del gusano)
Ms[dos_caracteres_aleatorios]32.dll (copia del gusano)

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para ocultar su proceso el gusano inserta el archivo Ms[dos_caracteres_aleatorios]32.dll dentro del EXPLORER.EXE y para para activarse cada vez que se re-inicie le sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{random CLSID}\InprocServer32]
@ = "%System%\Ms[dos_caracteres_aleatorios]32.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\ShellServiceObjectDelayLoad]
Ms[dos_caracteres_aleatorios]32.dll = "[CLSID_aleatorio]"

al siguiente inicio del equipo activa su rutina de envío masivo de correo Multi SPAM.

para infectar vía redes Peer to Peer libera una copia de sí mismo en en las carpetas que tengan las cadenas Download o Share usando uno de los siguientes nombres de archivos:

3dsmax_9_(3D_Studio_Max)_new!_full+crack.zip
ACDSee_9_new!_full+crack.zip
Adobe_Photoshop_10_(CS3)_new!_full+crack.zip
Adobe_Premiere_9_(2.0_pro)_new!_full+crack.zip
Ahead_Nero_8_new!_full+crack.zip
DivX_7.0_new!_full+crack.zip
ICQ_2006_new!_full+crack.zip
Internet_Explorer_7_new!_full+crack.zip
Kazaa_4_new!_full+crack.zip
Longhorn_new!_full+crack.zip
Microsoft_Office_2006_new!_full+crack.zip
winamp_5.2_new!_full+crack.zip

Los archivos anteriores con formato ZIP al desempaquetarse en memoria liberan los siguientes archivos:

[nombre_de_archivo_ZIP_sin_la_cadena_new!_full+crack].txt (contenido inocuo)
webinstall.exe (copia del gusano.)

PER ANTIVIRUS® versiones 9.5 y 9.6 con registro de virus al 27 de Enero del 2006 detecta y elimina este gusano/javascript.