|
W32/Refoav@mm, W32/Foavre@mm, I-worm.foavre@mm
Refoav es un gusano reportado el 08 de Abril del 2003, de alta propagación masiva, principalmente en los países de habla hispana, con un archivo anexado de nombre FOAVRE.exe y sin ningún texto en su Contenido.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual Basic 6.0 y tiene 48 KB de extensión.
Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.
Al ejecutar el archivo anexado, el gusano se auto-copia al directorio raíz C:\FOAVRE.exe, con los atributos de "Hidden" (oculto) y "Archivo".
Luego libera 2 archivos que copia al directorio raíz con los siguientes nombres:
El archivo Datospc.dat no contiene ningún código maligno y será usado para almacenar las direcciones de correo que serán enviadas masivamente.
Para ejecutarse la próxima vez que se inicie el sistema el gusano crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Load"="C:\vbseli.vbs"
Al re-iniciarse el equipo el archivo C:\vbseli.vbs, muestra en pantalla 5 cajas de diálogo:
Después de presentados estos mensajes y ejecutado el auto-envío masivo de mensajes, el gusano borrará el valor que agregó a la llave de registro para activarse al re-inicio del sistema, además de los archivos C:\FOAVRE.exe y C:\Vbseli.vbs, dejando tan solo Datospc.dat donde almacenó las direcciones de correo.
Sus payloads son los siguientes:
PER ANTIVIRUS® versión 8.0 con registro de virus al 08 de Abril del 2003 detecta y elimina eficientemente este gusano.
