|
Efectos:
Mabutu.A realiza las siguientes acciones: Se conecta al canal #__test__ de los siguientes servidores IRC, con objeto de realizar notificaciones de las acciones realizadas: amsterdam.nl.eu.undernet.org
amsterdam2.nl.eu.undernet.org
ann-arbor.mi.us.undernet.org
arlington.va.us.undernet.org
atlanta.ga.us.undernet.org
auckland.nz.undernet.org
austin.tx.us.undernet.org
baltimore.md.us.undernet.org
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
dallas.tx.us.undernet.org
diemen.nl.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
graz2.at.eu.undernet.org
haarlem.nl.eu.undernet.org
lasvegas.nv.us.undernet.org
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
lulea.se.eu.undernet.org
manhattan.ks.us.undernet.org
mclean.va.us.undernet.org
mesa.az.us.undernet.org
montreal.qu.ca.undernet.org
moscow.ru.eu.undernet.org
newbrunswick.nj.us.undernet.org
newyork.ny.us.undernet.org
oslo.no.eu.undernet.org
phoenix.az.us.undernet.org
plano.tx.us.undernet.org
quebec.qu.ca.undernet.org
saltlake.ut.us.undernet.org
stockholm.se.eu.undernet.org
surrey.uk.eu.undernet.org
toronto.on.ca.undernet.org
vancouver.bc.ca.undernet.org
washington.dc.us.undernet.orgActúa como backdoor, permitiendo a un usuario atacante descargar una DLL (Librería de Enlace Dinámico) en el ordenador afectado y ejecutar su código.
Metodo de infección:
Mabutu.A crea los siguientes archivos en el directorio de Windows: Mabutu.A crea la siguiente entrada en el Registro de Windows: - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Winupdt = RUNDLL32.EXE %windir%\ %nombre_DLL%, _mainRD
donde %windir% es el directorio de Windows, y %nombre_DLL% es el nombre aleatorio de la DLL creada en dicho directorio.
Mediante esta entrada, Mabutu.A consigue ejecutarse cada vez que Windows se inicia.
Metodo de propagación:
Mabutu.A se propaga a través del correo electrónico. Para ello, realiza este proceso: Llega al ordenador en un mensaje escrito en inglés de características variables:
Asunto: uno de los siguientes:
.jpg
Britney
creme_de_gruyere
Fetishes
gutted
Hello
Hi
I'm in love
I'm nude
Important
Ok cunt
Photo
Sex
Wet girls
Contenido: está en blanco.
Archivo adjunto: variable, compuesto según las siguientes reglas:
Posibles nombres: puede ser un nombre aleatorio, o tomado de alguno de los archivos que se encuentren en el directorio compartido de KaZaA (en el caso de que dicha aplicación esté instalada en el ordenador afectado), o alguno de estos elementos fijos: DETAILS, DOCUMENT, MESSAGE.
El archivo adjunto tendrá extensión ZIP, y contendrá un archivo con doble extensión TXT<espacios en blanco>.SCR o JPG<espacios en blanco>.SCR. - El ordenador es afectado cuando el usuario ejecuta el archivo adjunto.
- Mabutu.A busca direcciones de correo electrónico en archivos con las siguientes extensiones: HTM, HTML, TXT y WAB.
- Mabutu.A envía una copia de sí mismo, utilizando su propio motor SMTP:
- A todas las direcciones recogidas.
- A combinaciones de nombres de usuario y dominios de correo de las direcciones recogidas.
- A combinaciones de nombres de usuario de las direcciones recogidas y los dominios de correo aol.com, hotmail.com, msn.com y yahoo.com. - Sin embargo, evita enviarse a direcciones de correo que:
- Pertenezcan al dominio edu.
- Contengan alguna de las siguientes cadenas en su dominio: avp, bitdef, eeye, kaspers, microsoft, nai.c, neohapsis, ntbugtraq, panda, secunia, secur, sopho, spam, syman, trendmicro, virus, where.
- Contengan alguno de estos textos en el nombre del destinatario: abuse, amin, anyone, confirm, contact, info, mailer, mailing, news, nobody, noone, nothing, postmaster, register, secur, service, somebody, someone, spam, subscription, support, webmaster.
Otros detalles:
Mabutu.A tiene un tamaño de 32768 Bytes, y está comprimido mediante UPX. |
