Fujacks.AJ

FUJACKS.AJ gusano/backdoor de Correo e IRC infecta archivos EXE en todas las unidades de disco, etc.

W32/Fujacks.AJ@mm

Fujacks.AJ es un destructivo gusano/backdoor reportado el 24 de Enero del 2007, que se propaga a través de mensajes de Correo con un asunto, contenido y anexado en formato .ZIP el cual contiene diversos archivos con extensión .EXE

Infecta los archivos .EXE de todas las unidades de disco del sistema excepto los ubicados en %Windir% y %ProgramFiles%

Se conecta a un servidor IRC (Internet Relay Chat) y une a un canal de Chat desde el cual ejecutará comandos remotos en forma arbitraria.

Infecta sistemas operativos Windows 95/98/Me/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++, con una extensión variable y comprimido con rutinas propias.

Haciendo uso de su motor SMTP (Simple Mail Transfer Protocol) se envía masivamente a los buzones de la Libreta de Direcciones de Windows (WAB) en mensajes con las siguientes características:

Asunto: "No me olvido de ti"

Contenido:

"te pongo adjunto u screen saver espero que te guste a mi me parecio cuando menos interesante
saludos!!!!!!"

Anexado: screen.zip

screen.zip contiene los siguientes archivos:

Best_pictures1992.exe
Fidel Castro.exe
Shakira_comico.exe
VIH.exe
administracion de redes.exe
amor.exe
base de datos.exe
bola magica.exe
calientitas.exe
carta de amor.exe
chistes.exe
conversador.exe
encuesta.exe
famosas.exe
fucker_bromas.exe
hacking en espanol.exe
mide tu inteligencia.exe
mujeres.exe
muy gordas.exe
penetracion segura.exe
querida lisa.exe
revelacion.exe
sexo seguro.exe
te quiero decir....exe
te quiero.exe
test.exe
tu futuro.exe
vahinas.exe
zodiaco.exe

Al activarse el gusano se copia al directorio %Windir% con el nombre de svchost.exe y lpara activarse la próxima vez que se re-inicie el sistema crea la llave de regsitro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"svchost" = "%Windir%\svchost.exe"

crea además la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System7154\"GL" = "[fecha]"

Al siguiente inicio del equipo el gusano muestra una falsa caja de diálogo:

aleatoriamente cierra Windows, mostrando este mensaje:

"Windows security alert"
"Alerta de seguridad de windows"

Busca archivos .EXE en todas las unidades de disco insertando su código viral, excepto en los ubicados en %Windir% y %ProgramFiles%

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%ProgramFiles% es la variable referida a la carpeta de archivos de programa. Por defecto es C:\Program Files.

Actuando como Backdoor se conecta a través de un puerto TCP aleatorio a un servidor IRC (Internet Relay Chat) y une a un canal de Chat desde el cual podrá ejecutar comandos remotos en forma arbitraria.

PER ANTIVIRUS® versiones 9.9 y 10.0 con registro de virus al 24 de Enero del 2007 detectan y eliminan este gusano/backdoor.