|
Efectos:
Mabutu.B se conecta a los siguientes servidores IRC, con objeto de notificar a su autor que el ordenador ha sido afectado: amsterdam.nl.eu.undernet.org
amsterdam2.nl.eu.undernet.org
ann-arbor.mi.us.undernet.org
arlington.va.us.undernet.org
atlanta.ga.us.undernet.org
atlanta.ga.us.undernet.org
auckland.nz.undernet.org
austin.tx.us.undernet.org
baltimore.md.us.undernet.org
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
chat1.voila.fr
dallas.tx.us.undernet.org
diemen.nl.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
haarlem.nl.eu.undernet.org
lasvegas.nv.us.undernet.org
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
lulea.se.eu.undernet.org
manhattan.ks.us.undernet.org
mclean.va.us.undernet.org
mesa.az.us.undernet.org
montreal.qu.ca.undernet.org
moscow.ru.eu.undernet.org
newbrunswick.nj.us.undernet.org
newyork.ny.us.undernet.org
oslo.no.eu.undernet.org
phoenix.az.us.undernet.org
plano.tx.us.undernet.org
quebec.qu.ca.undernet.org
graz2.at.eu.undernet.org
saltlake.ut.us.undernet.org
stockholm.se.eu.undernet.org
surrey.uk.eu.undernet.org
toronto.on.ca.undernet.org
vancouver.bc.ca.undernet.org
washington.dc.us.undernet.org Esto, además, le permitiría recibir instrucciones de un usuario remoto. Metodo de infección:
Mabutu.B crea los siguientes archivos en el directorio de Windows: - ?TWAIN.EXE, que es una copia del gusano. El carácter ? representa una letra aleatoria.
- ?TWAIN.DLL, que es una DLL (Librería de Enlace Dinámico) que provee las funcionalidades del gusano.
- ?TWAIN, es un archivo encriptado que contiene las direcciones de correo electrónico que Mabutu.B recoge en el ordenador afectado.
- CFG.DAT, archivo encriptado que contiene diversos datos, utilizados por Mabutu.B para llevar a cabo sus acciones.
Mabutu.B crea la siguiente entrada en el Registro de Windows: - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Winupdt = RUNDLL32.EXE %windir%\ ?twain.dll,_mainRD
donde %windir% es el directorio de Windows, y ? es una letra aleatoria.
Mediante esta entrada, Mabutu.B consigue ejecutarse cada vez que Windows se inicia.
Metodo de propagación:
Mabutu.B se propaga a través del correo electrónico. Para ello, realiza este proceso: Llega al ordenador en un mensaje escrito en inglés de características variables:
Asunto: uno de los siguientes:
Fetishes
Hello
I'm in love
I'm nude
Important
Ok cunt
Sex
Wet girls
Contenido: está en blanco.
Archivo adjunto: variable, compuesto según las siguientes reglas:
Posibles nombres: .JPG, BRITNEY, CREME_DE_GRUYERE, GUTTED, JENIFER, PHOTO, THE_DETAILS, THE_DOCUMENT, THE_MESSAGE.
Adicionalmente, el nombre puede ser aleatorio y estar compuesto por una letra minúscula y 9 (en archivos sin comprimir) ó 10 dígitos (en archivos comprimidos).
Posibles extensiones: pueden ser simples (ZIP o SCR) o dobles (JPG.SCR o TXT.SCR).
Si el archivo tiene extensión ZIP, contendrá un archivo con doble extensión.
Los siguientes son sólo algunos ejemplos de archivos adjuntos: BRITNEY.SCR, THE_DETAILS.ZIP (que contendrá, por ejemplo, THE_DETAILS.JPG.SCR), t4587659512.TXT.SCR, f4587236911.ZIP (que contendrá f4587236911.TXT.SCR, por ejemplo), etc. - El ordenador es afectado cuando el usuario ejecuta el archivo adjunto.
- Mabutu.B busca direcciones de correo electrónico en archivos con las siguientes extensiones: HTM, HTML, TXT y WAB.
- Mabutu.B se envía a todas las direcciones recopiladas, así como a las direcciones que aparezcan en la Lista de Contactos de MSN Messenger, utilizando su propio motor SMTP.
Otros detalles:
Mabutu.B tiene un tamaño de 33280 Bytes, y está comprimido mediante UPX. |
