Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл), имеет размер около 33КБ (упакован UPX, размер распакованного файла - около 65КБ).
Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.
При инсталляции червь копирует себя в каталог Windows с произвольным именем:
C:\%windir%\<случайное имя>.exe
Червь также создает в каталоге Windows следующие файлы:
C:\%windir%\<случайное имя>.dll C:\%windir%\cfg.dat
Затем регистрирует созданный dll-файл в ключе автозагрузки системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "winupdt"="RUNDLL32.EXE %WinDir%\<случайное имя>.dll"
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:
htm html txt wab
При этом червем игнорируются адреса, содержащие следующие подстроки:
abuse admin anyone Avp bitdef confirm contact eeye info kaspers mailer mailing microsoft nai.c neohapsis news nobody noone nothing |
ntbugtraq panda postmaster register secunia secur service somebody someone sopho spam subscription support syman trendmicro virus webmaster where |
При рассылке зараженных писем червь пытается осуществлять прямое подключение к SMTP-серверам.
Выбирается произвольным образом из списка:
Fetishes gutted Hello Hi I'm in love I'm nude Important Ok cunt Sex Wet girls
Выбирается произвольным образом из списка:
britney.jpg creme_de_gruyere.jpg details document jenifer.jpg message photo.jpg
Вложение может иметь одно или несколько из следующих расширений:
scr txt zip
I-Worm.Mabutu.a позволяет злоумышленнику через IRC-каналы получить информацию с зараженного компьютера.
Червь открывает на зараженной машине TCP порт 6667 для соединения с одним из следующих IRC-серверов:
amsterdam.nl.eu.undernet.org amsterdam2.nl.eu.undernet.org ann-arbor.mi.us.undernet.org arlington.va.us.undernet.org atlanta.ga.us.undernet.org auckland.nz.undernet.org austin.tx.us.undernet.org baltimore.md.us.undernet.org brussels.be.eu.undernet.org caen.fr.eu.undernet.org chat1.voila.fr dallas.tx.us.undernet.org diemen.nl.eu.undernet.org flanders.be.eu.undernet.org graz.at.eu.undernet.org haarlem.nl.eu.undernet.org lasvegas.nv.us.undernet.org london.uk.eu.undernet.org los-angeles.ca.us.undernet.org lulea.se.eu.undernet.org manhattan.ks.us.undernet.org mclean.va.us.undernet.org mesa.az.us.undernet.org montreal.qu.ca.undernet.org moscow.ru.eu.undernet.org newbrunswick.nj.us.undernet.org newyork.ny.us.undernet.org oslo.no.eu.undernet.org phoenix.az.us.undernet.org plano.tx.us.undernet.org quebec.qu.ca.undernet.org graz2.at.eu.undernet.org saltlake.ut.us.undernet.org stockholm.se.eu.undernet.org surrey.uk.eu.undernet.org toronto.on.ca.undernet.org vancouver.bc.ca.undernet.org washington.dc.us.undernet.org
В Матрице безопасности выбор очевиден