Mabutu.B

MABUTU.B, nocivo gusano de Correo y Kazaa se conecta a canales de Chat para enviar información.

W32/Mabutu.B@mm, W32/Mota.B, .worm.mabutu.B@mm

Mabutu.B es un gusano reportado el 30 de Julio del 2004, de propagación masiva a través de mensajes de correo con Remitentes disfrazados bajo la técnica Spoofing, Asuntos, Contenidos y archivos Anexados elegidos en forma aleatoria.

También se difunde vía la red Peer to Peer Kazaa y se conecta a un canal del IRC (Internet Chat Relay), ubicado en diversos servidores, para notificar al autor del virus acerca de los sistemas infectados.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003.

Está desarrollado en Visual C++, con un componente .EXE de 32 KB y un .DLL de 48 KB, sin comprimir. El primero está comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Usa su propio servidor SMTP (Simple Mail Transfer Protocol) y se auto-envía a los buzones de correo extraídos de las siguientes fuentes:

Lista de contactos de MSN Messenger.
Buzones de correo de la Libreta de Direcciones de Windows (WAB)
Libreta de Direcciones de MS Outlook Express.
Direcciones contenidas en archivos con extensiones HTM, HTML, TXT y WAB.

Los mensajes tienen las siguientes características:

Remitente: emplea la técnica Email spoofing que disfraza las verdaderas direcciones de los Remitentes.

Asunto, uno de los siguientes:

britney
Hello
I'm in love
I'm nude
Important
jenifer
Wet girls
Hi
Hello
Important
Sex
Fetishes
gutted
Ok cunt

Contenido, puede ser una ruta extraída de las carpetas de descarga de Kazaa, de Mis Documentos o una de las siguientes cadenas de texto:

the_details
the_document
the_message

Anexado, es generado por la composición del nombre del dominio o la dirección de correo de la víctima, así como también puede ser una de las siguientes palabras:

britney
jenifer
photo
creme_de_gruyere
details
document
Fetishes
gutted
message
Ok cunt
photo

Con cualquiera de estas extensiones:

En caso que la extensión sea .ZIP el contenido del mismo es un archivo de nombre aleatorio y con doble
extensión:

[nombre_de_archivo].jpg[múltiples_espacios].scr
[nombre_de_archivo].txt[múltiples_espacios].scr

Al ejecutar el archivo el gusano copia 2 componentes al directorio %Windir% con nombres aleatorios, uno de ellos con extensión .EXE y el componente Backdoor con extensión .DLL además del archivo CFG.DAT, donde almacenará su configuración.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Para ejecutarse la próxima vez que se inicie el sistema el gusano crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"winupdt" = "RUNDLL32.EXE %Windir%\[caracteres_aleatorios]twain.DLL,_mainRD"

Para infectar a través de la red P2P KaZaa el gusano se auto-copia a su carpeta de descarga con el nombre de Scrnsave.exe, controlada por la llave de registro:

[HKEY_USERS\DEFAULT\Software\Kazaa\LocalContent\DownloadDir]

A través del puerto TCP 6667 (IRCU) el gusano intenta conectarse a un canal específico (cifrado dentro de su código), ubicado en cualquiera de los siguientes servidores IRC (Internet Chat Relay) para notificar a su autor que un sistema ha sido infectado o para actualizarse a sí mismo.

amsterdam.nl.eu.undernet.org
amsterdam2.nl.eu.undernet.org
ann-arbor.mi.us.undernet.org
arlington.va.us.undernet.org
atlanta.ga.us.undernet.org
auckland.nz.undernet.org
austin.tx.us.undernet.org
baltimore.md.us.undernet.org
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
chat1.voila.fr
dallas.tx.us.undernet.org
diemen.nl.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
graz2.at.eu.undernet.org
haarlem.nl.eu.undernet.org
lasvegas.nv.us.undernet.org
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
lulea.se.eu.undernet.org
manhattan.ks.us.undernet.org
mclean.va.us.undernet.org
mesa.az.us.undernet.org
montreal.qu.ca.undernet.org
moscow.ru.eu.undernet.org
newbrunswick.nj.us.undernet.org
newyork.ny.us.undernet.org
oslo.no.eu.undernet.org
phoenix.az.us.undernet.org
plano.tx.us.undernet.org
quebec.qu.ca.undernet.org
saltlake.ut.us.undernet.org
stockholm.se.eu.undernet.org
surrey.uk.eu.undernet.org
toronto.on.ca.undernet.org
vancouver.bc.ca.undernet.org
washington.dc.us.undernet.org

El IRCU es el software utilizado por la mayoría de IRC (Internet Chat Relay) para su funcionamiento, (clientes IRC, mIRC, etc.)

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo a las direcciones de la Lista de contactos de MSN Messenger, Libreta de Direcciones de Windows (WAB), MS Outlook Express y las contenidas en archivos de diversas extensiones.
Emplea remitentes disfrazados bajo la técnica Email Spoofing, con asuntos, contenidos y archivos anexados aleatorios.
Se auto-copia a la carpeta de descarga de la red P2P Kazaa desde la cual podrá infectar a los usuarios que se encuentren conectados.
A través del puerto TCP 6667, su componente backdoor contacta un determinado canal de Chat contenido en una lista de servidores en la web, para notificar a su autor que un sistema ha sido infectado o para actualizarse a sí mismo.

PER ANTIVIRUS® versión 8.7 y 8.8 con registro de virus al 30 de Julio del 2004 detecta y elimina eficientemente este gusano.