W32/FreeTheme@MM, W32/Win64 

FreeTheme es un gusano reportado el 31 de Mayo del 2002, de difusión masiva, vía correo electrónico a través de mensajes de correo con un archivo anexado de nombre www.freedesktopthemes.com, aunque la extensión del archivo, que simula ser una dirección web, varía aleatoriamente a .BAT, .EXE, .A o .CMD. 

El gusano posee su propio SMTP (Simple Mail Transfer Protocol) que incluye al protocolo POP (Post Office Protocol) y se auto-envía a todos los contactos del sistema infectado, haciendo uso de la Libreta de Direcciones de Windows (WAB) y los archivos .DBX de MS-Outlook y Outlook Express.

Este gusano que tiene una extensión de 30.5 KB, es un PE (Portable Ejecutable) que infecta todos los sistemas operativos operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000. Ha sido desarrollado en lenguaje Visual C++ y está doblemente comprimido, en primer lugar con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net     

y con el compresor de archivos PEPak:

http://arctest.narod.ru/self/pepack.htm

Hola, Te gusta el moderno diseño de Windows XP?!
He encontrado temas de escritorio GRATUITOS y fáciles de usar!
Puedes abrir el sitio web y obtener muestras! Disfrútalas!!!

Si el usuario hace clic en el enlace (link) el gusano se copia a la carpeta de Windows con el nombre SETUP.EXE y al menú de Inicio, con el nombre de status.ini, para asegurarse de su activación la próxima vez que se inicie el sistema. También modifica la siguiente llave de registro:

[HKLM\Software\Microsoft\Windows\CurrenVersion\Run]
C:\Windows\setup.exe

El payload de este peculiar gusano consta de los siguientes efectos:

El gusano se ejecuta en memoria y crea el "mutex" “IEXPLORE_MUTEX_AABBCCDDEEFF”. Los denominados mutex son unos objetos de sincronización que gobiernan el acceso a recursos del sistema y tienen privilegios asociados con estos recursos. Se puede crear un mutex, en particular, con el propósito de tomar el control a recursos de las redes que tienen permisos inconsistentes. 

Este factor podría permitir a un atacante, que tenga la habilidad de ejecutar códigos en computadoras locales, monopolizar el "mutex" y tomar el control de la red.  

Manipula el WAB o Windows Address Book lo cual reviste mucha peligrosidad, ya que esta prestación permite las siguientes acciones en los programas de correo de Microsoft:

• Crear registros de contactos.
• Guardar localmente la información de los contactos.
• Buscar registros en la base de datos de contactos.
• Editar la información de los contactos.
• Agregar contactos de mensajes de correo cuando se recibe información de un remitente.
• Importar contactos desde otros programas. 

Se auto envía masivamente a través de su servidor SMTP.

Cuenta además con cadenas que intentan conectarse a varias direcciones IP de Internet, a través del puerto 80, con el objeto de incrementar su propagación, pudiendo causar una Negación de Servicio (DoS) por saturación.:

• http://66.176.166.16/b.cgi
• http://24.112.73.219/b.cgi
• http://24.190.219.22/b.cgi
• http://68.100.32.96/b.cgi
• http://24.157.108.78/b.cgi
• http://137.204.230.6/b.cgi
• http://65.101.211.71/b.cgi
• http://4.63.105.4/b.cgi
• http://24.67.234.143/b.cgi

Dentro del código del virus se puede leer:

ThAnks tO AUthOr! YOU ArE rEAllY grEAt mAn!
AlsO thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE mAIlEr
nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY

Gracias al Autor. Tu eres realmente un gran hombre!
También gracias a las compañías de Antivirus por describir el Enviador de Correos
sin acciones destructivas! No te preocupes, se feliz

PER ANTIVIRUS® versión 7.5 con registro de virus al 31 de Mayo del 2002 detecta y elimina eficientemente este gusano.