| |
VSantivirus No. 617 - Año 6 - Sábado 16 de marzo de 2002
W32/Fbound.B. Usa como adjunto: CHECK.EXE o IMPORTANT.ZIP
http://www.vsantivirus.com/fbound-b.htm
Nombre: W32/Fbound.B
Tipo: Gusano de Internet
|
Alias:
|
Win32.Fbound.B@mm, I-Worm.Zcrypt, CRYPTZ.B, CRYPTZ, Win32.Fbound, W32/Fbound.B@MM, I-Worm.Zircon.b, W32/FBound-B, Win32.Fbound.B, WORM_FBOUND.A.
|
Tamaño: 24,576 bytes
Fecha: 14/mar/02
La variante 'B' de este gusano es anterior a la más conocida y propagada como la
'C', y apenas ha sido reportada en la calle, a pesar de que se trata de un código mucho más elaborado además de poseer alguna rutina maliciosa (que el
'C' no incluye).
Puede llegarnos en un mensaje con uno de los siguientes formatos:
Asunto: Important (o caracteres extraños -idioma japonés-)
Texto del mensaje: (vacío)
Datos adjuntos: check.exe
Asunto: Important (o caracteres extraños -idioma japonés-)
Texto del mensaje: password = xxxxxxxx (letras al azar)
Datos adjuntos: important.zip
Si el usuario abre el archivo adjunto, se ejecuta el gusano, el cuál crea una copia de sí mismo comprimido en formato ZIP y además encriptado con una contraseña generada al azar en la carpeta
TEMP de Windows.
El gusano busca en el registro la ubicación de la libreta de direcciones, y toma aquellas a las que se enviará de allí.
Esta información está en esta rama del registro:
HKEY_CURRENT_USER\Software\Microsoft
\WAB\WAB4\Wab File Name
Luego utiliza la configuración de la cuenta por defecto (Internet Account Manager) para enviarse a si mismo usando el servidor SMTP allí especificado (el servidor de nuestra cuenta de correo predeterminada). Esta información se guarda en las siguientes ramas del registro:
HKEY_CURRENT_USER\Software\Microsoft
\Internet Account Manager\Accounts\00000000
SMTP Email Address =
(nuestra dirección de correo predeterminada)
SMTP Server =
(dirección IP del SMTP de nuestra cuenta de correo)
El valor "00000000" varía, y se refiere al identificador de la cuenta predeterminada cuando se tienen varias.
El gusano se envía a sí mismo a cada dirección que encuentre. Si la misma está bajo el dominio
.JP, se enviará con el asunto en japonés. En caso contrario se enviará con el asunto
"Important".
El gusano tiene un 50% posibilidades de enviarse a sí mismo con una contraseña que proteja el fichero adjunto
zip, y en este caso el cuerpo del mensaje será con el siguiente texto:
Password = xxxxxxxx
Como vimos, las 'xxxxxxxx' representan la contraseña para abrir el
.ZIP adjunto.
Si se ejecuta en cualquier día del mes de abril, el gusano activará sus rutinas maliciosas.
Una de ellas es la que dibuja una gran cantidad de puntos (pixeles) al azar en la pantalla, al mismo tiempo que ejecuta un archivo de sonido grabado con una estridente voz.
El gusano genera un archivo 666.zip en la carpeta TEMP
que luego no elimina.
La forma de quitar el gusano de una máquina infectada es borrar dicho archivo y principalmente los mensajes recibidos que puedan contener al gusano.
El virus no debería ser una amenaza si aplicáramos la más elemental regla de no abrir ningún adjunto no solicitado.
La mayoría de los antivirus ya lo incluyen en sus bases de datos.
Nota: Algunos antivirus identifican la versión FBound.C
como la B, cuando en realidad son dos virus.
Referencias:
VSantivirus No. 616 - 15/mar/02
Fbound.C, el virus preferido de los kamikaze del mouse
http://www.vsantivirus.com/15-03-02a.htm
VSantivirus No. 616 - 15/mar/02
W32/Fbound.C. ¡No ejecute ningún adjunto PATCH.EXE!
http://www.vsantivirus.com/fbound-c.htm
VSantivirus No. 618 - 17/mar/02
W32/Fbound.A. Los días jueves llena de puntos la pantalla
http://www.vsantivirus.com/fbound-a.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
