FatCat

FATCAT, destructivo gusano de propagación vía correo deshabilita antivirus firewalls y borra archivos.

W32/Fatcat@mm, I-worm.fatcat@mm

Fatcat es un gusano destructivo, reportado el 11 de Enero del 2003, de propagación masiva vía mensajes de correo con un archivo anexado elegido al azar de uno de los nombres Fc.exe, Fatcat.exe o Runfc.exe. Termina los procesos de software antivirus, firewalls, monitoreo y utilitarios de sistema, borra archivos y cambia la página de Inicio del Internet Explorer.

Ha sido desarrollado en Visual Basic 6.0, tiene una extensión de 18 KB y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

Al ejecutar el archivo anexado, el gusano se auto-copia con el nombre de RUNFC.EXE a las carpetas asociadas a la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"default" = Local AppData

También se auto-copia con el nombre de FUNCAT.EXE a las carpetas asociadas a la siguiente llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"default" = Startup

Estas carpetas ubicadas en Windows NT/2000/XP se vinculan en:

C:\Documents and Settings\%nombre_de_usuario%\Application Data
C:\Documents and C:\Documents and Settings\%nombre_de_usuario%\Start Menu\Program\Startup

En Windows 95/98/ME lo hacen en:

C:\Windows\Local Settings\Application Data and C:\Windows\Start Menu\Program\Startup

Para ejecutarse la próxima vez que se inicie el sistema, el gusano crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"default" = fc.exe

Una vez activado, el gusano intenta terminar con los procesos de los siguientes antivirus, firewalls, programas de monitoreo y utilitarios de sistema que se encuentren instalados:

_Avp32.exe
_Avpcc.exe
_Avpm.exe
Ackwin32.exe
Anti -Trojan.exe
Apvxdwin.exe
Autodown.exe
Avconsol.exe
Ave32.exe
Avgctrl.exe
Avkserv.exe
Avnt.exe
Avp.exe
Avp32.exe
Avpcc.exe
Avpdos32.exe
Avpm.exe
Avptc32.exe
Avpupd.exe
Avsched32.exe
Avwin95.exe
Avwupd32.exe
Blackd.exe
Blackice.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Claw95.exe
Claw95cf.exe
Cleaner.exe
Cleaner3.exe
Dvp95.exe
Dvp95_0.exe
Ecengine.exe
Esafe.exe
Espwatch.exe
f-Agnt95.exe
Findviru.exe
Fprot.exe
f-Prot.exe
f-Prot95.exe
Fp-Win.exe
Frw.exe
f-Stopw.exe
Iamapp.exe
Iamserv.exe
Ibmasn.exe
Ibmavsp.exe
Icload95.exe
Icloadnt.exe
Icmon.exe
Icsupp95.exe
Icsuppnt.exe
Iface.exe
Iomon98.exe
Jedi.exe
Lockdown2000.exe
Lookout.exe
Luall.exe
Moolive.exe
Mpftray.exe
N32scanw.exe
Navapw32.exe
Navlu32.exe
Navnt.exe
Navw32.exe
Navwnt.exe
Nisum.exe
Nmain.exe
Normist.exe
Nupgrade.exe
Nvc95.exe
Outpost.exe
Padmin.exe
Pavcl.exe
Pavsched.exe
Pavw.exe
Pccwin98.exe
Pcfwallicon.exe
Persfw.exe
Rav7.exe
Rav7win.exe
Rescue.exe
Safeweb.exe
Scan32.exe
Scan95.exe
Scanpm.exe
Scrscan.exe
Serv95.exe
Smc.exe
Sphinx.exe
Sweep95.exe
Tbscan.exe
Tca.exe
Tds2-98.exe
Tds2-Nt.exe
VControl.EXE
Vet95.exe
Vettray.exe
Vscan40.exe
Vsecomr.exe
Vshwin32.exe
Vsstat.exe
Webscanx.exe
Wfindv32.exe
Zonealarm.exe

Luego se auto-copia con cualquiera de los siguientes nombres a la carpeta de descarga del Internet Explorer:

Beautiful Girls.jpg
bugbear solution.mpg
die hard games.swf
Enjoy the games.swf
estimate.mp4
eve - let me blow your mind.mp3
FBI news report.txt
flash animation.swf
funny picture.jpg
ghostreacon.avi
greenday.mp3
hackers description.doc
happynewyear.jpg
here it is your password.txt
High resolution digital picture.jpg
honey I shrunk the dog.jpg
HOW TO BLOCK AN EMAIL THAT CONTAIN A VIRUS.txt
how to hack Yahoo account.txt
How to make a pipe bomb.doc
How to remove the Bugbear.doc
I need you babe.txt
kuch kuch hota hai.mp3
Microsoft Security Update.txt
moving picture.gif
no matter what I do.jpg
Out of Memory.jpg
rice and curry.mp3
run in the sky.mov
sample banner.jpg
sample source code.txt
The Best of The Best Miss Worlds.jpg
The Red Panther.jpg
the ring trailer.mov
unsensored_girl.jpg
virus description.txt
what and who.gif
What is a Trojan Backdoor.doc
WHAT IS A VIRUS.doc
What is DOS attack.txt
What you see is what you get.doc

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

Modifica el AUTOEXEC.BAT para conectarse a las siguientes direcciones IP, con el objeto de saturarlas:

209.61.182.140 (www.israel.com)
209.208.36.150 (www.america.com)

Y la próxima vez que se inicie el sistema borrará estos archivos:

C:\Windows\system.dat
C:\Windows\user.dat
C:\Windows\system.da0
C:\Windows\user.da0

También remueve los atributos de solo-lectura, oculto y de sistema de los siguientes archivos:

C:\system.dat
C:\Windows\user.dat
C:\Windows\system.da0
C:\Windows\user.da0

Cambia la página de Inicio del Internet Explorer para conectarse a una ruta URL, actualmente deshabilitada, del portal ruso:

http://www.netlux.org

Esta ruta tenía una carpeta la cual contenía el archivo FC.EXE, que era descargado cuando el usuario se conectaba a Internet. Sin embargo, si este archivo ya estaba presente en el sistema, el gusano intentaba re-configurar la página de Inicio del Internet Explorer hacia una en blanco, desde la cual descargaba una copia infectada al directorio %Windir%.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

El gusano además liberaba un archivo HTML infectado, el cual era inmediatamente borrado después de su ejecución. Debido a errores de programación estos procesos no culminaban exitosamente.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo.
Infecta todas las carpetas asociadas a 2 llaves de registro.
Termina procesos de antivirus, firewalls, sistemas de seguridad, monitoreo y utilitarios de sistema.
Hace Ping a los portales AMERICA.COM e ISRAEL.COM con el propósito de saturarlos.
Modifica el AUTOEXEC.BAT para borrar archivos.
Cambia atributos de solo-lectura, oculto y de sistema de varios archivos.
Cambia la página de Inicio del Internet Explorer.
Desestabiliza el sistema operativo y será necesario re-instalarlo.

PER ANTIVIRUS® versiones 7.8 y 7.9 con registro de virus al 11 de Enero del 2003 detecta y elimina eficientemente este gusano.