I-Worm.Mabutu.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 33КБ (упакован UPX, размер распакованного файла - около 65КБ).

Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.

Инсталляция

При инсталляции червь копирует себя в каталог Windows с произвольным именем:

C:\%windir%\<случайное имя>.exe

Червь также создает в каталоге Windows следующие файлы:

C:\%windir%\<случайное имя>.dll
 C:\%windir%\cfg.dat

Затем регистрирует созданный dll-файл в ключе автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "winupdt"="RUNDLL32.EXE %WinDir%\<случайное имя>.dll"

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

htm
 html
 txt
 wab

При этом червем игнорируются адреса, содержащие следующие подстроки:

abuse
 admin
 anyone
 Avp
 bitdef
 confirm
 contact
 eeye
 info
 kaspers
 mailer
 mailing
 microsoft
 nai.c
 neohapsis
 news
 nobody
 noone
 nothing
ntbugtraq
 panda
 postmaster
 register
 secunia
 secur
 service
 somebody
 someone
 sopho
 spam
 subscription
 support
 syman
 trendmicro
 virus
 webmaster
 where

При рассылке зараженных писем червь пытается осуществлять прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:

Выбирается произвольным образом из списка:

Fetishes
 gutted
 Hello
 Hi
 I'm in love
 I'm nude
 Important
 Ok cunt
 Sex
 Wet girls

Имя файла-вложения:

Выбирается произвольным образом из списка:

britney.jpg
 creme_de_gruyere.jpg
 details
 document
 jenifer.jpg
 message
 photo.jpg

Вложение может иметь одно или несколько из следующих расширений:

scr
 txt
 zip

Удаленное администрирование

I-Worm.Mabutu.a позволяет злоумышленнику через IRC-каналы получить информацию с зараженного компьютера.

Червь открывает на зараженной машине TCP порт 6667 для соединения с одним из следующих IRC-серверов:

amsterdam.nl.eu.undernet.org
 amsterdam2.nl.eu.undernet.org
 ann-arbor.mi.us.undernet.org
 arlington.va.us.undernet.org
 atlanta.ga.us.undernet.org
 auckland.nz.undernet.org
 austin.tx.us.undernet.org
 baltimore.md.us.undernet.org
 brussels.be.eu.undernet.org
 caen.fr.eu.undernet.org
 chat1.voila.fr
 dallas.tx.us.undernet.org
 diemen.nl.eu.undernet.org
 flanders.be.eu.undernet.org
 graz.at.eu.undernet.org
 haarlem.nl.eu.undernet.org
 lasvegas.nv.us.undernet.org
 london.uk.eu.undernet.org
 los-angeles.ca.us.undernet.org
 lulea.se.eu.undernet.org
 manhattan.ks.us.undernet.org
 mclean.va.us.undernet.org
 mesa.az.us.undernet.org
 montreal.qu.ca.undernet.org
 moscow.ru.eu.undernet.org
 newbrunswick.nj.us.undernet.org
 newyork.ny.us.undernet.org
 oslo.no.eu.undernet.org
 phoenix.az.us.undernet.org
 plano.tx.us.undernet.org
 quebec.qu.ca.undernet.org
 graz2.at.eu.undernet.org
 saltlake.ut.us.undernet.org
 stockholm.se.eu.undernet.org
 surrey.uk.eu.undernet.org
 toronto.on.ca.undernet.org
 vancouver.bc.ca.undernet.org
 washington.dc.us.undernet.org