Agent.ARQB es un gusano reportado el 06 de Noviembre del 2008 que se propaga a tarvés de mensaje de correo, redes de archivos compartidos Peer to Peer y servicios de Mensajería Instantánea.

Infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está desarrollado en Assembler con una extensión de 81,920 bytes.

Al ingresar a u sistema se copia a la carpeta %System% con el nombre de taskmon.exe y para ejecutarse la próxima vez que se re-inicie el sistema modifica la siguiente llaves de registro

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TaskMon" = "%System%\taskmon.exe"

Como parte de su rutina de instalación agrega las siguientes entradas a las llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32]
"ios" = "[Número_aleatorio]"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32]
"osi" = "[Número_aleatorio]"

Al siguiente inicio del sistema el gusano haciendo uso de us propio motor Simple Mail Transfer Protocol (SMTP) re-envía el mensaje de correo con las siguientes características:

Remitente: postcards@hallmark.com
Asunto: You've received A Hallmark E-Card!
Contenido:

Hello!
You have recieved Hallmark E-Card from your friend.
To see it, check the attachment.
There's something special about that E-Card feeling. We invite you to make a friend's day and send one.
Hope to see you soon,
Your friends at Hallmark

Anexado: postcard.zip

El gusano captura los buzones de correo de la Libreta de Direcciones de Windows (WAB), evitando enviar el mensaje a la direcciones con las siguientes cadenas:

* -._!@
* abuse
* accoun
* acd-group
* acdnet.com
* acdsystems.com
* acketst
* admin
* alcatel-lucent.com
* anyone
* apache
* arin.
* be_homie:
* berkeley
* bluewin.ch
* borlan
* bpsoft.com
* certific
* contact
* debian
* example
* feste
* firefox
* buyrar.com
* gold-certs
* ghisler.com
* honey
* ibm.com
* icrosof
* icrosoft
* idefense
* inpris
* isc.o
* isi.e
* jgsoft
* kernel
* lavasoft
* linux
* listserv
* messagelabs
* mit.e
* mozilla
* mydomai
* nobody
* nodomai
* noone
* nothing
* ntivi
* panda
* postmaster
* privacy
* qualys
* quebecor.com
* rating
* redhat
* rfc-ed
* ruslis
* samples
* secur
* secure
* security
* service
* slashdot
* somebody
* someone
* sopho
* sourceforge
* submit
* sun.com
* support
* tanford.e
* the.bat
* usenet
* utgers.ed
* webmaster
* wireshark

para propagarse a través de las redes de archivos compartis se

%Program Files%\Kazaa\MY SHARED FOLDER

y para infectar por los servicios de mensjaería instantánea envía copias de sí mismo a las Libretas de Contactos de los siguientes servicios:

* AIM (AOL Instan Messenger)
* MSN (Microsoft Messenger Network)
* TIM (de Facebook)