Gusano
MABUTU/A.B. para IRC, P2P y MSN Messanger
Aliases:
I-Worm.Mabutu.a I-Worm.Mabutu.b Mabutu Mabutu.b W32.Mota.A W32.Mota.B@mm
W32/Mabutu-A W32/Mabutu.a@MM W32/Mabutu@MM W32/Mota.worm WORM_MABUTU.A
Resumen
Este gusano roba información del programa MSN Messanger.
Mabutu, se
propaga en forma masiva a través del correo. Posee su propio
motor SMTP para enviarse usando remitentes falsos, direcciones
de email que no existen. Puede utilizar KaZaa. Agrega el prefijo
"THE_" donde infecta.
Infección del Sistema
Revisa archivos
de tipo .htm, .html, .txt, .wab para obtener direcciones de e-mail
Los mensajes enviados
tienen las siguientes características:
Asunto:
britney
Hello
Hi
I"m in love
I"m nude
Important
jenifer
Sex
Wet girls
Anexos:
[letras y números
al azar]
britney
creme_de_gruyere
details
document
fetishes
gutted
jenifer
message
Ok cunt
photo
the_details
the_document
the_message
Los archivos
utilizan alguna de las siguientes extensiones:
.scr
.zip
Crea los siguientes
archivos dentro la carpeta de Windows:
c:\windows\??twain.dat
c:\windows\?twain.dll
c:\windows\?twain.exe
c:\windows\cfg.dat
También crea
una copia de si mismo con el nombre de SCRNSAVE.EXE en la carpeta
compartida de la aplicación P2P, como KaZaa.
Agrega la siguiente
entrada al registro:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
winupd = RUNDLL32.EXE c:\windows\?twain.dll, _mainRD
Intenta conectarse
a un servidor IRC a través del puerto TCP 6667
INSTRUCCIONES
PARA ELIMINARLO
1. Desactive la restauración en Windows XP/ME.
2. Elimine los archivos infectados, una vez que corra su anti-virus
actualizado.
3. Busque y borre los siguientes archivos:
c:\windows\??twain.dat
c:\windows\?twain.dll
c:\windows\?twain.exe
c:\windows\cfg.dat
4. Elimine "winupd", en la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Detección
El
Antivirus F-Secure detecta a Mabutu con la actualización
del día 28 de Julio del 2004
