Fbound, gusano japonés que infecta tan solo leyendo el mensaje de correo.  

© Jorge Machado  Lima-Perú

Win32/Fbound@mm,  W32.Impo.gen@mm, W32.Fbound.c@mm, I-.Worm.Japanize,

Fbound es un gusano reportado el 14 de Marzo del 2002, de origen Japonés y  de gran difusión masiva en Internet ya que infecta con el sólo hecho de visualizar el mensaje, sin necesidad de abrir o ejecutar el archivo anexado (adjunto) que en este caso se denomina patch.exe (parche).

Supuestamente el autor de este virus, posee avanzados conocimientos de programación, ya que además de estar desarrollado en lenguaje Assembler, con apenas 12k de extensión, es un clásico archivo con formato PE (Portable Ejecutable) y debido a ello infecta los sistemas operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000.

Se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook Express, en forma muy peculiar, conectándose a través del servidor SMTP (Simple Mail Transfer Protocol), predeterminado, obtenido desde el registro:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\<número de cuenta>\SMTP Server]

utilizando para ello funciones API (Aplication Programming Interface) de la librería WSOCK32.DLL, en un mensaje de correo muy singular y sin contenido alguno:

zoher.gif (7863 bytes)

El Asunto del mensaje puede ser la palabra "important" o una de las siguientes frases escritas en lenguaje japonés elegida en forma aleatoria de la siguiente lista, dependiendo del identificador del país de la dirección de correo del receptor del mensaje, es decir, si los tres últimos caracteres de la dirección de correo electrónico coinciden con .jp, que corresponde a los dominios de Japón, el asunto del mensaje será un  texto en japonés:

La traducción en español de los posibles asuntos es:

Re: asunto en cuestion
Re: importante
Re: mucho tiempo que no te veo
Re: sumamente secreto
Re: Hola
Re: noticia importante
Re: materiales
asunto en cuestion
importante
mucho tiempo que no te veo
sumamente secreto
Hola
noticia importante
materiales
rana
mierda

Fbound se activa con sólo leer el mensaje infectado, debido a una conocida vulnerabilidad del formato MIME (Multipurpose Internet Mail Extensions), de algunas versiones de Microsoft Outlook, Outlook Express e Internet Explorer que permiten que el archivo anexado sea ejecutado automáticamente, sin necesidad de que el usuario receptor lo active. 

El parche para MIME exploit puede ser descargado desde:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp

Fbound no se instala en el sistema, únicamente se limita a auto-enviarse a la libreta de direcciones de MS Outlook Express y termina su proceso sin hacer ningún daño adicional, excepto el de la rápida saturación de los servidores de correo, LAN, estaciones de trabajo y PC domésticas.

Internamente en el código viral del gusano se puede visualizar el texto:

XXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXX I-Worm.Japanize XXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXX

PER ANTIVIRUS® versión 7.4 con registro de virus al 14 de Marzo del 2002 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS