Email-Worm.Win32.Mabutu.a

Jest to robak rozprzestrzeniaj膮cy si臋 przez Internet jako za艂膮cznik zainfekowanych wiadomo艣ci e-mail oraz za po艣rednictwem sieci wymiany plik贸w KaZaA. Ma posta膰 pliku PE EXE o rozmiarze oko艂o 33 KB (kompresja UPX, rozmiar po rozpakowaniu - oko艂o 65 KB). Szkodnik wyposa偶ony jest w procedur臋 backdoor odbiera polecenia poprzez kana艂y IRC.

Instalacja

Po uruchomieniu robak kopiuje si臋 do foldera Windows z nazw膮 (losowa nazwa).exe.

Dodatkowo szkodnik tworzy w folderze Windows pliki (losowa nazwa).exe lub cfg.dat.

Nast臋pnie robak tworzy dla pliku dll klucz auto-run w rejestrze systemowym, co zapewnia mu uruchamianie wraz z ka偶dym startem systemu operacyjnego:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
'winupdt' = "RUNDLL32.EXE %Windows%(losowa nazwa).dll"

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane s膮 z systemowej ksi膮偶ki adresowej oraz z plik贸w posiadaj膮cych nast臋puj膮ce rozszerzenia:

.htm
.html
.txt
.wab

Szkodnik nie wysy艂a w艂asnych kopii pod adresy zawieraj膮ce nast臋puj膮ce teksty:

abuse
admin
anyone
Avp
bitdef
confirm
contact
eeye
info
kaspers
mailer
mailing
microsoft
nai.c
neohapsis
news
nobody
noone
nothing
ntbugtraq
panda
postmaster
register
secunia
secur
service
somebody
someone
sopho
spam
subscription
support
syman
trendmicro
virus
webmaster
where

W celu wysy艂ania wiadomo艣ci robak nawi膮zuje bezpo艣rednie po艂膮czenie z serwerem SMTP odbiorcy.

Charakterystyka zainfekowanych wiadomo艣ci e-mail

  • Temat (wybierany z poni偶szych mo偶liwo艣ci):
    britney.jpg 
    creme_de_gruyere.jpg 
    details 
    document 
    Fetishes 
    gutted 
    Hello 
    Hi 
    I'm in love 
    I'm nude 
    Important 
    jenifer.jpg 
    message
    Ok cunt
    photo.jpg 
    Sex 
    Wet girls
    
    
    
    
  • Rozszerzenie za艂膮cznika (wybierane z poni偶szych mo偶liwo艣ci, mo偶e by膰 wielocz臋艣ciowe):
    .scr
    .txt
    .zip
    

Zdalne zarz膮dzanie

Robak pozwala zdalnemu hakerowi na pobieranie informacji z zainfekowanego komputera i na wysy艂anie ich poprzez kana艂y IRC.

Szkodnik otwiera port TCP 6667 i podejmuje pr贸by 艂膮czenia si臋 z nast臋puj膮cymi serwerami IRC:

amsterdam.nl.eu.undernet.org 
amsterdam2.nl.eu.undernet.org 
ann-arbor.mi.us.undernet.org 
arlington.va.us.undernet.org 
atlanta.ga.us.undernet.org 
auckland.nz.undernet.org 
austin.tx.us.undernet.org 
baltimore.md.us.undernet.org 
brussels.be.eu.undernet.org 
caen.fr.eu.undernet.org
chat1.voila.fr 
dallas.tx.us.undernet.org 
diemen.nl.eu.undernet.org 
flanders.be.eu.undernet.org 
graz.at.eu.undernet.org 
haarlem.nl.eu.undernet.org 
lasvegas.nv.us.undernet.org 
london.uk.eu.undernet.org 
los-angeles.ca.us.undernet.org 
lulea.se.eu.undernet.org 
manhattan.ks.us.undernet.org 
mclean.va.us.undernet.org 
mesa.az.us.undernet.org 
montreal.qu.ca.undernet.org 
moscow.ru.eu.undernet.org 
newbrunswick.nj.us.undernet.org 
newyork.ny.us.undernet.org 
oslo.no.eu.undernet.org 
phoenix.az.us.undernet.org 
plano.tx.us.undernet.org 
quebec.qu.ca.undernet.orggraz2.at.eu.undernet.org 
saltlake.ut.us.undernet.org 
stockholm.se.eu.undernet.org 
surrey.uk.eu.undernet.org 
toronto.on.ca.undernet.org 
vancouver.bc.ca.undernet.org 
washington.dc.us.undernet.org
W32/Mabutu.a@MM (McAfee),   W32.Mota.B@mm (Symantec),   Win32.HLLM.Mabutu (Doctor Web),   W32/Mabutu-A (Sophos),   Win32/Mabutu.A@mm (RAV),   Worm/Mabutu.A (H+BEDV),   W32/Mabuto.B@mm (FRISK),   Win32:Mabutu-Dll (ALWIL),   I-Worm/Mabutu.A (Grisoft),   Win32.Mabutu.B@mm (SOFTWIN),   Worm.Mabutu.A.3 (ClamAV),   W32/Mabutu.A.worm (Panda),   Win32/Mabutu.A (Eset)