Fubalca

FUBALCA destructivo gusano infecta archivos de unidades del disco dejándolos inoperativos. Explota vulnerabilidad.

W32/Fubalca

Fubalca es un destructivo gusano residente en memoria, reportado el 02 de Abril del 2007 que se propaga a través de servicios de Internet, tales como HTTP, redes de compartimiento de archivos, mensajes de correo, etc.

Explota la vulerabilidad de los archivos .ANI del Microsoft Animated Cursor (ANI), de acuerdo a Security Focus (23194)

http://www.securityfocus.com/brief/472

http://www.microsoft.com/technet/security/advisory/935423.mspx

Infecta archivos ejecutables de todas las carpetas raíz de las unidades de disco, dejándolos inoperativos. Modifica el archivo HOSTS y la configuración del Internet Explorer, además del Notepad.exe.

Infecta Windows 95/98/Me/NT/2000/XP y está programado en Assembler con 12.5KB de extensión.

Al ser activado crea un Mutex de nombre MyInfect, para evitar infectar un sistema más de una vez.

y se copia a la carpeta %System% con los nombres:

sysload3.exe
tempIcon.exe
[nombre_aleatorio].tmp
%System%\tempload.exe

copia además al directorio raíz de todas las carpetas de la unidades de disco de la C:\ a la Z:\ los archivos:

tool.exe
autorun.ind

para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"System Boot Check" = "%System%\sysload3.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo el gusano inserta su código viral en el Notepad.exe e Internet Explorer.exe de Windows.

descarga un archivo de configuración .css desde el siguiente URL:

http://a.2007ip.com/css[Censurado]

también desde una URL ubicada en Zhejiang, China descarga y ejecuta los siguientes archivos:

http://61.153.247.76/cald/01.[Censurado]
http://61.153.247.76/cald/02.[Censurado]
http://61.153.247.76/cald/03.[Censurado]
http://61.153.247.76/cald/04.[Censurado]
http://61.153.247.76/cald/05.[Censurado]
http://61.153.247.76/cald/06.[Censurado]
http://61.153.247.76/cald/07.[Censurado]

los archivos descargados son copias de Infostealer.Gampass o Infostealer.Perfwo.

para cambiar la configuración del Internet Explorer crea las llaves:

[HKCU\Software\Microsoft\Internet Explorer\Main\
[HKCU\Software\Microsoft\Internet Explorer\Main\Start Page]

El archivo de configuración descargado de http://if.iloveck.com/test/hos[Censurado], reemplaza al archivo HOSTS en los URLs:

127.0.0.1 localhost
127.0.0.1 mmm.caifu18.net
127.0.0.1 www.18dmm.com
127.0.0.1 d.qbbd.com
127.0.0.1 www.5117music.com
127.0.0.1 www.union123.com
127.0.0.1 www.wu7x.cn
127.0.0.1 www.54699.com
127.0.0.1 60.169.0.66
127.0.0.1 60.169.1.29
127.0.0.1 www.97725.com
127.0.0.1 down.97725.com
127.0.0.1 ip.315hack.com
127.0.0.1 ip.54liumang.com
127.0.0.1 www.41ip.com
127.0.0.1 xulao.com
127.0.0.1 www.heixiou.com
127.0.0.1 www.9cyy.com
127.0.0.1 www.hunll.com
127.0.0.1 www.down.hunll.com
127.0.0.1 do.77276.com
127.0.0.1 www.baidulink.com
127.0.0.1 adnx.yygou.cn
127.0.0.1 222.73.220.45
127.0.0.1 www.f5game.com
127.0.0.1 www.guazhan.cn
127.0.0.1 wm,103715.com
127.0.0.1 www.my6688.cn
127.0.0.1 i.96981.com
127.0.0.1 d.77276.com
127.0.0.1 www1.cw988.cn
127.0.0.1 cool.47555.com
127.0.0.1 www.asdwc.com
127.0.0.1 55880.cn
127.0.0.1 61.152.169.234
127.0.0.1 cc.wzxqy.com
127.0.0.1 www.54699.com

infecta además los archivos ubicados en todas las unidades de disco, que tengan las siguentes extensiones:

exe
asp
jsp
php
htm
aspx
html

el gusano explota la vulnerabilidad de los archivos .ANI del Microsoft Animated Cursor.

PER ANTIVIRUS® versión 10.0 con registro de virus al 02 de Abril del 2007 detecta y elimina este gusano.