MIME charset encoding: Iso-2022-jp
De: <Dirección del usuario infectado>

Variante 1:

Asunto: Important (o caracteres extraños -idioma japonés-)
Texto del mensaje: (vacío)
Datos adjuntos: check.exe

Variante 2:

Asunto: Important (o caracteres extraños -idioma japonés-)
Texto del mensaje: password = xxxxxxxx (letras al azar)
Datos adjuntos: important.zip

El gusano utiliza su propia máquina SMTP para enviar las copias de si mismo a todos los contactos de la libreta de direcciones.

El adjunto CHECK.EXE es una copia del gusano, mientras que IMPORTANT.ZIP es un archivo comprimido con la utilidad WinZip, protegido por clave, conteniendo el mismo archivo anterior con el cuerpo del gusano (CHECK.EXE).

El gusano se ejecuta solo si el usuario abre el archivo adjunto (CHECK.EXE).

Cuando se ejecuta CHECK.EXE, el gusano examina la fecha del sistema, y si el día es jueves, procede a llenar la pantalla con puntos rojos (pixeles), al mismo tiempo que ejecuta un archivo de sonido grabado con una estridente voz.

Crea entonces un archivo 666.ZIP en el directorio TEMP de Windows:

C:\Windows\TEMP\666.ZIP

Este archivo contiene una versión comprimida del mismo CHECK.EXE, pero protegida por contraseña. Para su ejecución se requiere la intervención humana, ya que no se auto ejecuta ni es llamado por el gusano en ningún momento. Por ese motivo, el archivo 666.zip en la carpeta TEMP queda allí hasta que el usuario lo elimine.

Luego, el gusano busca en el registro la ubicación de la libreta de direcciones, y toma aquellas a las que se enviará de allí.

Esta información está en esta rama del registro:

HKEY_CURRENT_USER\Software\Microsoft
\WAB\WAB4\Wab File Name

Utiliza la configuración de la cuenta por defecto (Internet Account Manager) para enviarse a si mismo usando el servidor SMTP allí especificado (el servidor de nuestra cuenta de correo predeterminada). Esta información se guarda en las siguientes ramas del registro:

HKEY_CURRENT_USER\Software\Microsoft
\Internet Account Manager\Accounts\00000000

SMTP Email Address =
(nuestra dirección de correo predeterminada)

SMTP Server =
(dirección IP del SMTP de nuestra cuenta de correo)

El valor "00000000" varía, y se refiere al identificador de la cuenta predeterminada cuando se tienen varias.

El gusano se envía a sí mismo a cada dirección que encuentre. Si la misma está bajo el dominio .JP, se enviará con el asunto en japonés. En caso contrario se enviará con el asunto "Important".

El gusano tiene un 50% posibilidades de enviarse a sí mismo con una contraseña que proteja el fichero adjunto zip, y en este caso el cuerpo del mensaje será con el siguiente texto:

Password = xxxxxxxx

Como vimos, las 'xxxxxxxx' representan la contraseña para abrir el .ZIP adjunto.

La forma de quitar el gusano de una máquina infectada es borrar el archivo 666.ZIP de la carpeta \Windows\TEMP y principalmente los mensajes recibidos que puedan contener al gusano.

El virus no debería ser una amenaza si aplicáramos la más elemental regla de no abrir ningún adjunto no solicitado.

La mayoría de los antivirus ya lo incluyen en sus bases de datos.

Nota: De las tres variantes del Fbound, la 'C' es la más conocida y que más se ha propagado.


Referencias:

VSantivirus No. 616 - 15/mar/02
Fbound.C, el virus preferido de los kamikaze del mouse
http://www.vsantivirus.com/15-03-02a.htm

VSantivirus No. 616 - 15/mar/02
W32/Fbound.C. ¡No ejecute ningún adjunto PATCH.EXE!
http://www.vsantivirus.com/fbound-c.htm

VSantivirus No. 617 - 16/mar/02
W32/Fbound.B. Usa como adjunto: CHECK.EXE o IMPORTANT.ZIP
http://www.vsantivirus.com/fbound-b.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com