3 grudnia 2004

UWAGA! I-Worm.Mabutu.a

Jest to robak rozprzestrzeniający się przez Internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci wymiany plików KaZaA. Ma postać pliku PE EXE o rozmiarze około 33 KB (kompresja UPX, rozmiar po rozpakowaniu - około 65 KB). Szkodnik wyposażony jest w procedurę backdoor odbiera polecenia poprzez kanały IRC.

Instalacja

Po uruchomieniu robak kopiuje się do foldera \Windows z nazwą (losowa nazwa).exe.

Dodatkowo szkodnik tworzy w folderze \Windows pliki (losowa nazwa).exe lub cfg.dat.

Następnie robak tworzy dla pliku dll klucz auto-run w rejestrze systemowym, co zapewnia mu uruchamianie wraz z każdym startem systemu operacyjnego:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
'winupdt' = "RUNDLL32.EXE %Windows%\(losowa nazwa).dll"

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane są z systemowej książki adresowej oraz z plików posiadających następujące rozszerzenia:

.htm
.html
.txt
.wab

Szkodnik nie wysyła własnych kopii pod adresy zawierające następujące teksty:

abuse
admin
anyone
Avp
bitdef
confirm
contact
eeye
info
kaspers
mailer
mailing
microsoft
nai.c
neohapsis
news
nobody
noone
nothing
ntbugtraq
panda
postmaster
register
secunia
secur
service
somebody
someone
sopho
spam
subscription
support
syman
trendmicro
virus
webmaster
where

W celu wysyłania wiadomości robak nawiązuje bezpośrednie połączenie z serwerem SMTP odbiorcy.

Charakterystyka zainfekowanych wiadomości e-mail

  • Temat (wybierany z poniższych możliwości):
    britney.jpg 
    creme_de_gruyere.jpg 
    details 
    document 
    Fetishes 
    gutted 
    Hello 
    Hi 
    I'm in love 
    I'm nude 
    Important 
    jenifer.jpg 
    message
    Ok cunt
    photo.jpg 
    Sex 
    Wet girls
    
    
    
    
  • Rozszerzenie załącznika (wybierane z poniższych możliwości, może być wieloczęściowe):
    .scr
    .txt
    .zip
    

Zdalne zarządzanie

Robak pozwala zdalnemu hakerowi na pobieranie informacji z zainfekowanego komputera i na wysyłanie ich poprzez kanały IRC.

Szkodnik otwiera port TCP 6667 i podejmuje próby łączenia się z następującymi serwerami IRC:

amsterdam.nl.eu.undernet.org 
amsterdam2.nl.eu.undernet.org 
ann-arbor.mi.us.undernet.org 
arlington.va.us.undernet.org 
atlanta.ga.us.undernet.org 
auckland.nz.undernet.org 
austin.tx.us.undernet.org 
baltimore.md.us.undernet.org 
brussels.be.eu.undernet.org 
caen.fr.eu.undernet.org
chat1.voila.fr 
dallas.tx.us.undernet.org 
diemen.nl.eu.undernet.org 
flanders.be.eu.undernet.org 
graz.at.eu.undernet.org 
haarlem.nl.eu.undernet.org 
lasvegas.nv.us.undernet.org 
london.uk.eu.undernet.org 
los-angeles.ca.us.undernet.org 
lulea.se.eu.undernet.org 
manhattan.ks.us.undernet.org 
mclean.va.us.undernet.org 
mesa.az.us.undernet.org 
montreal.qu.ca.undernet.org 
moscow.ru.eu.undernet.org 
newbrunswick.nj.us.undernet.org 
newyork.ny.us.undernet.org 
oslo.no.eu.undernet.org 
phoenix.az.us.undernet.org 
plano.tx.us.undernet.org 
quebec.qu.ca.undernet.orggraz2.at.eu.undernet.org 
saltlake.ut.us.undernet.org 
stockholm.se.eu.undernet.org 
surrey.uk.eu.undernet.org 
toronto.on.ca.undernet.org 
vancouver.bc.ca.undernet.org 
washington.dc.us.undernet.org
W32/Mabutu.a@MM (McAfee),   W32.Mota.B@mm (Symantec),   Win32.HLLM.Mabutu (Doctor Web),   W32/Mabutu-A (Sophos),   Win32/Mabutu.A@mm (RAV),   Worm/Mabutu.A (H+BEDV),   W32/Mabuto.B@mm (FRISK),   Win32:Mabutu-Dll (ALWIL),   I-Worm/Mabutu.A (Grisoft),   Win32.Mabutu.B@mm (SOFTWIN),   Worm.Mabutu.A.3 (ClamAV),   W32/Mabutu.A.worm (Panda),   Win32/Mabutu.A (Eset)