Fbound ist ein Massen-Mailer, der erstmals im März 2002 entdeckt wurde.

VARIANTE: Fbound.C

Die Fbound.C Variante des Wurms tauchte am 14.3.2002 erstmals auf.

Wenn er aktiviert wird, holt sich der Wurm zunächst den SMTP-Server und die E-MAIL-Adresse des Benutzers und anschließend den Pfad des Windows Adress-Buches (WAB). Danach lädt er die Virus-EXE-Datei in den Speicher, verschlüsselt ihn mit Base64, durchsucht die WAB-Datei nach E-MAIL-Adressen und sendet sich an alle diese Adressen. Die infizierte Mail sieht folgendermaßen aus:

 Subject:      Important
 Attachment:   patch.exe

Der Nachrichtentext ist leer. Wenn die Adress-Endung des Empfängers '.jp' (Japan) ist, dann ist die Betreff-Zeile eine zufällig ausgewählte Möglichkeit aus 16 verschiedenen Betreff-Zeilen.
Es sollte erwähnt werden, dass der Wurm seine Datei in einer einzigen Zeile verschlüsselt und damit gegen eine RFC-Regel für Base64-Verschlüsselung verstößt. Dadurch leiten einige E-Mail-Server die Nachricht des Wurms erst gar nicht weiter.

Der Wurm installiert sich selbst nicht auf dem Rechnersystem. Daher reicht es aus, den Rechner neu zu starten und dann die Datei des Wurms im temporären Verzeichnis zu löschen, wo er ihn bei der Ausführung des Anhangs (Attachments) abgelegt hat.

Mit den Updates vom 14.3.2002 wird Fbound mit seinen Varianten erkannt.

[Analyse: Gergely Erdelyi, Katrin Tocheva; Sami Rautiainen F-Secure Corp.; 14.03.2002; Übersetzung @ntivirus-shop.com]