Detección agregada	28 feb 2009
Actualización lanzada	28 feb 2009 10:32 GMT
Descripción agregada	23 abr 2009

• Detalles técnicos
• Daños
• Instrucciones de eliminación

Gusano de red que se propaga en la red social Facebook mediante envíos de mensajes con enlaces a sitios infectados a los amigos del usuario. Contiene funciones de “puerta trasera” (backdoor) que le permiten recibir instrucciones provenientes del servidor de administración. El tamaño del gusano es de 30720 bytes. Está comprimido con UPX. Su tamaño descomprimido es de 78 KB.

Instalación

Al iniciarse, el gusano verifica si existe su copia llamada “freddy35.exe” en el catálogo raíz de Windows. Si el fichero no existe, se copia a sí mismo bajo este nombre:

%Windir%\freddy35.exe 

Ejecuta su nueva copia y el fichero temporal c:\353454543.bat con el objetivo de eliminar la antigua copia y después termina su proceso.

Se le muestra al usuario una ventana con el siguiente mensaje:

El gusano crea el siguiente identificador único para determinar su presencia en el sistema: "31225d5335".

El gusano crea y ejecuta el fichero 2.reg, que a su vez crea la siguiente llave en el registro:

El gusano también elimina la siguiente entrada del registro:

Y crea las siguientes entradas:

El gusano busca en el directorio de cookies las que se refieran a los siguientes sitios:

Facebook.com
Hi5.com
Friendster.com
Myyearbook.com
Myspace.com
Bebo.com
Tagged.com
Netlog.com
Fubar.com
Livejournal.com

Verifica la conexión a Internet, enviando solicitudes a www.google.com y obteniendo sus respuestas. Más adelante, el gusano crea llamadas POST consecutivas a los siguientes servidores, usando el fichero “achcheck.php”:

1dns210109.com
temp210108.com
wm21012009.com
open21012009.com
er21012009.com

En caso de que alguno de ellos envíe la respuesta “ACH_OK”, lleva a cabo los siguientes pasos. Por medio de una llamada POST envía al servidor un renglón con el siguiente formato:

Usa los siguientes parámetros:
a – número de serie del disco C;
s = "fb";
hav – idioma de los mensajes de Internet Explorer (en-us, ru, etc.)
Para los siguientes parámetros se establece el valor 1 si los las cookies encontradas corresponden a los sitios:
ck, c_fb - Facebook.com
c_ms - Myspace.com
c_hi - Hi5.com
c_be - Bebo.com
c_fr - Friendster.com
c_yb - Myyearbook.com
c_tg - Tagged.com
c_nl - Netlog.com
c_fu - Fubar.com
c_lj - Livejournal.com

Ante esta solicitud, el servidor puede enviar una respuesta que contenga las siguientes instrucciones:

FBTARGETPERPOST
FBSHAREURL
SHARELINK
RCAPTCHA
SIMPLEMODE
RAZLOG
INVITE
UPDATE
WAIT
START
STARTIMG
STARTONCE
STARTONCEIMG
BASEDOMAIN
TITLE_B
DOMAIN_B
TEXT_B
LINK_B
DOMAIN_M
TITLE_M
TEXT_M
LINK_M
DOMAIN_C
TEXT_C
LINK_C
RESET
EXIT

En las instrucciones, después del símbolo "|" pueden haber otros argumentos.

Modos de difusión

La recepción de la instrucción #BLACKLABEL desde el servidor indica que el gusano está activo y que está empezando a tratar de propagarse por la red social.

El gusano se conecta a Facebook usando la ID de la sesión del usuario guardada en las cookies. Se rastrea el sitio web con el objetivo de reunir información sobre los amigos del usuario para enviarles enlaces al sitio infectado.

Después de conectarse a Facebook desde su servidor de administración, el gusano recibe la información necesaria para generar los mensajes a enviar, con los parámetros:

TITLE_M
TEXT_M
LINK_M

Al intentar enviar a los amigos del usuario los mensajes generados, es posible que se pida la prueba CAPTCHA basada en una imagen. El gusano remite la prueba al servidor de administración y espera su respuesta. En caso de recibir la respuesta del servidor, se continúa con el envío del mensaje.

El sitio cuyo enlace se incluye en los mensajes tiene el siguiente aspecto:

Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo:

1. Terminar el proceso del programa malicioso con el Administrador de Tareas.
2. Eliminar el archivo original del gusano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
3. Eliminar los siguientes parámetros de la llave del registro:
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "sysftray2" = "\%Windows%\freddy35.exe"
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   "ProxyEnable" = "0"
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   "ProxyEnable" = "0"
4. Eliminar la copia del gusano: %Windir%\freddy35.exe
5. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).