I-Worm.Mabutu.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 33КБ (упакован UPX, размер распакованного файла - около 65КБ).

Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.

Инсталляция

При инсталляции червь копирует себя в каталог Windows с произвольным именем:

C:\%windir%\<случайное имя>.exe

Червь также создает в каталоге Windows следующие файлы:

C:\%windir%\<случайное имя>.dll
  C:\%windir%\cfg.dat

Затем регистрирует созданный dll-файл в ключе автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "winupdt"="RUNDLL32.EXE %WinDir%\<случайное имя>.dll"

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

htm
  html
  txt
  wab

При этом червем игнорируются адреса, содержащие следующие подстроки:

abuse
  admin
  anyone
  Avp
  bitdef
  confirm
  contact
  eeye
  info
  kaspers
  mailer
  mailing
  microsoft
  nai.c
  neohapsis
  news
  nobody
  noone
  nothing

ntbugtraq
  panda
  postmaster
  register
  secunia
  secur
  service
  somebody
  someone
  sopho
  spam
  subscription
  support
  syman
  trendmicro
  virus
  webmaster
  where

При рассылке зараженных писем червь пытается осуществлять прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:

Выбирается произвольным образом из списка:

Fetishes
  gutted
  Hello
  Hi
  I'm in love
  I'm nude
  Important
  Ok cunt
  Sex
  Wet girls

Имя файла-вложения:

Выбирается произвольным образом из списка:

britney.jpg
  creme_de_gruyere.jpg
  details
  document
  jenifer.jpg
  message
  photo.jpg

Вложение может иметь одно или несколько из следующих расширений:

scr
  txt
  zip

Удаленное администрирование

I-Worm.Mabutu.a позволяет злоумышленнику через IRC-каналы получить информацию с зараженного компьютера.

Червь открывает на зараженной машине TCP порт 6667 для соединения с одним из следующих IRC-серверов:

amsterdam.nl.eu.undernet.org
  amsterdam2.nl.eu.undernet.org
  ann-arbor.mi.us.undernet.org
  arlington.va.us.undernet.org
  atlanta.ga.us.undernet.org
  auckland.nz.undernet.org
  austin.tx.us.undernet.org
  baltimore.md.us.undernet.org
  brussels.be.eu.undernet.org
  caen.fr.eu.undernet.org
  chat1.voila.fr
  dallas.tx.us.undernet.org
  diemen.nl.eu.undernet.org
  flanders.be.eu.undernet.org
  graz.at.eu.undernet.org
  haarlem.nl.eu.undernet.org
  lasvegas.nv.us.undernet.org
  london.uk.eu.undernet.org
  los-angeles.ca.us.undernet.org
  lulea.se.eu.undernet.org
  manhattan.ks.us.undernet.org
  mclean.va.us.undernet.org
  mesa.az.us.undernet.org
  montreal.qu.ca.undernet.org
  moscow.ru.eu.undernet.org
  newbrunswick.nj.us.undernet.org
  newyork.ny.us.undernet.org
  oslo.no.eu.undernet.org
  phoenix.az.us.undernet.org
  plano.tx.us.undernet.org
  quebec.qu.ca.undernet.org
  graz2.at.eu.undernet.org
  saltlake.ut.us.undernet.org
  stockholm.se.eu.undernet.org
  surrey.uk.eu.undernet.org
  toronto.on.ca.undernet.org
  vancouver.bc.ca.undernet.org
  washington.dc.us.undernet.org