FUBALCA.E gusano de Internet infecta unidades de disco removibles descarga y ejecuta archivos con códigos malignos.  

© Jorge Machado  Lima-Perú

W32/Fubalca.E

Fubalca.E es un destructivo gusano residente en memoria reportado el 16 de Mayo del 2007 que se propaga a través de diversos servicios de Internet e infecta dispositivos removibles de almacenamiento. 

Descarga y ejecuta archivos con códigos malignos desde dos sitios web alojados en Vancouver, Canadá, con contenido en idioma chino

Infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está está programado en Assembler con 26KB de extensión y no está encriptado.

Al activarse se copia a la siguiente ruta, con el nombre:

%System%\servet.exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

para ejecutarse la próxima vez que se re-inicie el sistema y propagarse en las unidades de almacenamiento crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun" = "0"

al siguiente inicio del equipo el gusano revisa todas las unidades de disco de la A:\ a la Z:\ y crea el archivo:

[Unidad_de_disco]\Autorun.inf

luego cambia la fecha del sistema al 12 de Enero de 1981, en caso exista el siguiente archivo en la ruta:

%System%\drivers\klick.sys

y genera la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsDown]

para crear el servicio:

Nombre: WindowsDown
Descripción: Windows

se copia a la carpeta %System% con el nombre de svchost.exe y el atributo de "oculto".

finalmente intenta descargar y ejecutar cada 60 segundos archivos con códigos arbitrarios desde dos sitios webs alojados en Vancouver, Canadá con contenido en idioma chino.

http://www.18dmm.com/arp/[Censurado]
http://www.18dmm.com/arp/10.[Censurado]
http://www.18dmm.com/arp/11.[Censurado]
http://www.18dmm.com/arp/12.[Censurado]
http://www.18dmm.com/arp/13.[Censurado]
http://www.18dmm.com/arp/14.[Censurado]
http://www.18dd.net/new/system[Censurado]

Los archivos decargados son almacenados y auto-ejecutados en las siguiente ruta y con los nombres:

%System%\1.exe
%System%\2.exe
%System%\3.exe
%System%\4.exe
%System%\5.exe
%System%\6.exe
%System%\7.exe
%System%\8.exe
%System%\9.exe
%System%\10.exe
%System%\11.exe
%System%\12.exe
%System%\13.exe
%System%\14.exe
%System%\system22.exe

Terminado estos procesos, el gusano se auto-destruye.

PER ANTIVIRUS® versión 10.1 con registro de virus al 16 de Mayo del 2007 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS