I-Worm.Mabutu.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 33КБ (упакован UPX, размер распакованного файла - около 65КБ).

Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.

Инсталляция

При инсталляции червь копирует себя в каталог Windows с произвольным именем:

C:\%windir%\<случайное имя>.exe

Червь также создает в каталоге Windows следующие файлы:

C:\%windir%\<случайное имя>.dll
C:\%windir%\cfg.dat

Затем регистрирует созданный dll-файл в ключе автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "winupdt"="RUNDLL32.EXE %WinDir%\<случайное имя>.dll"

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

htm
html
txt
wab

При этом червем игнорируются адреса, содержащие следующие подстроки:

abuse
admin
anyone
Avp
bitdef
confirm
contact
eeye
info
kaspers
mailer
mailing
microsoft
nai.c
neohapsis
news
nobody
noone
nothing
ntbugtraq
panda
postmaster
register
secunia
secur
service
somebody
someone
sopho
spam
subscription
support
syman
trendmicro
virus
webmaster
where

При рассылке зараженных писем червь пытается осуществлять прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:

Выбирается произвольным образом из списка:

Fetishes
gutted
Hello
Hi
I'm in love
I'm nude
Important
Ok cunt
Sex
Wet girls

Имя файла-вложения:

Выбирается произвольным образом из списка:

britney.jpg
creme_de_gruyere.jpg
details
document
jenifer.jpg
message
photo.jpg

Вложение может иметь одно или несколько из следующих расширений:

scr
txt
zip

Удаленное администрирование

I-Worm.Mabutu.a позволяет злоумышленнику через IRC-каналы получить информацию с зараженного компьютера.

Червь открывает на зараженной машине TCP порт 6667 для соединения с одним из следующих IRC-серверов:

amsterdam.nl.eu.undernet.org
amsterdam2.nl.eu.undernet.org
ann-arbor.mi.us.undernet.org
arlington.va.us.undernet.org
atlanta.ga.us.undernet.org
auckland.nz.undernet.org
austin.tx.us.undernet.org
baltimore.md.us.undernet.org
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
chat1.voila.fr
dallas.tx.us.undernet.org
diemen.nl.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
haarlem.nl.eu.undernet.org
lasvegas.nv.us.undernet.org
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
lulea.se.eu.undernet.org
manhattan.ks.us.undernet.org
mclean.va.us.undernet.org
mesa.az.us.undernet.org
montreal.qu.ca.undernet.org
moscow.ru.eu.undernet.org
newbrunswick.nj.us.undernet.org
newyork.ny.us.undernet.org
oslo.no.eu.undernet.org
phoenix.az.us.undernet.org
plano.tx.us.undernet.org
quebec.qu.ca.undernet.org
graz2.at.eu.undernet.org
saltlake.ut.us.undernet.org
stockholm.se.eu.undernet.org
surrey.uk.eu.undernet.org
toronto.on.ca.undernet.org
vancouver.bc.ca.undernet.org
washington.dc.us.undernet.org