W32/Mubla.B

Actuando como Backdoor se conecta a un sitio web ubicado en California, Estados Unidos desde donde el atacante podrá ejecutará comandos arbitrarios en forma remota y robar información del sistema y contraseñas.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003, está desarrollado en MS Visual C++ con una extensión de 118KB y encriptado con rutinas propias.

Ingresado al sistema se copia al directorio %System% con los siguientes nombres:

%System%\notiffy.dll
%System%\printers.exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003. 

Y para activarse la próxima vez que se reinicie el sistema crea las llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft]
[Letras_aleatorias]\"[Letras_aleatorias]" = "[Datos_binarios]"
[HKEY_CLASSES_ROOT\CLSID\{E828ED51-9231-4C10-AF80-C86611F551F4}\InProcServer32]
"Default" = "%System%\notiffy.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"printers" = "{E828ED51-9231-4C10-AF80-C86611F551F4}" 

Al siguiente inicio del equipo, el gusano envía uno de los siguientes mensajes a la lista de contactos del MSN Messenger, intentado conectarse a través del servicio de Internet FTP (File Transfer Protocol) y descargar una copia de sí mismo, el archivo photosalbum-2007-5-26.scr:

• You and Me !!! .... look :p
• Look at my photos hihi :p
• Hey please accept my photos :o !!
• A photo with me and my best friend :$ !!
• This is me totaly naked :o please dont send to anyone else
• Look what i found on the NET :o Jessica Alba NUDE !!
• images0
• photos0
• album
• photo
• pictures0
• picture
• bak sana Paris Hilton ne hale gelmis hapiste :(
• Sen ve Ben !!! .... BAK :p
• Baksana benim fotograflara hihi :p
• Hey benim fotolarimi kabul et :o !!
• Iyi arkadasimla fotorafdayim :$ !!
• benim bu ciplak fotoda :o ama baskasina yollama
• bak ne buldum :o Jessica alba ciplak !!
• lle ai .t. jeter en prison :(
• Toi et moi !!! .... regarde :p
• Regarde mes photos :p
• Hey s',27h,'il te plait accepte mes photos :o !!
• Une photo de moi et mon meilleur ami :$ !!
• envoie a personne d',27h,'autre
• NU !!
• Kijk hoe erg Paris Hilton er aan toe is na gevangenschap :(
• Jij en Ik !!!! .... kijk :p
• Kijk eens naar mijn fotos hihi :p
• HEY !! accepteer mn fotos dan !
• met mijn beste vriend op de foto !! :$
• Dit ben ik naakt op de foto, stuur alsjeblieft niet door.
• Kijk wat ik gevonden heb :o Jessica Alba naakt !!
• aus dem knast ist :(
• du und ich !!! ....guck :p
• siehe meine fotos hihi :p
• hey bitte nimm meine fotos an :o !!
• ein foto mit meinem besten freund und mir :$ !!
• das bin ich total nackt :o bitte sende es niemand anderem
• !!
• a :(
• Tu ed io !!! .... guarda :p
• Guardi le mie foto hihi :p
• Mairee photos accept karo :o !!
• Una foto con me ed il mio amico migliore :$ !!
• Questa e me totaly nudo :o prego non trasmette a chiunque
• A !!
• :(
• Voc. e eu !!!! .... Veja :p
• Veja as minhas fotos hehehe :p
• Por favor aceite as minhas fotos :o !!
• Uma foto com o meu melhor amigo e eu :$ !!
• ingu.m
• Olha o que eu achei na NET :o Jessica Alba NUA !!
• kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :(
• NI HE WO !!! .... QING KAN :p
• KAN WO DE ZHAOPIAN :p
• JIESHOU WO DE ZHAO PIAN :o !!
• YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!
• KAN WO DE ZHAOPIAN :p
• ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!
• Hey, acceptera mina bilder, sn.lla :o
• En bild p. mig och min b.sta v.n :$ !!!
• n.lla...
• Kolla vad jag hittade p. n.tet :o Jessica Alba NAKEN !!
• Ha aceptado mis fotos por favor :o !!
• Una foto con mi mejor amigo e yo :$ !!
• die
• Mira lo que encontr. en la WEB :o Jessica Alba DESNUDA !! 
• Lede hvor spild Paris Hilton er efter hun fik f.ngsel :(
• Jer og Mig !!! ... se :p
• Se p. min fotos :p
• Hej behage optage min foto :o !!
• EN foto hos mig og min bedst ven :$ !!
• il nogle :o
• Lede hvad jeg fandt oven p. den net :o Jessica Alba bar !!

Como Backdoor usa un puerto TCP abierto disponible y se conecta al sitio web john.free4people.net, desde el cual el atacante podrá ejecutar comandos arbitrarios vía HTTP, tales como:

• Descargar y ejecutar archivos con códigos arbitrarios
• Ejecutar comandos remotos ocultos
• Capturar información del sistema
• Capturar contraseñas

PER ANTIVIRUS® versiones 10.1 y 10.2 con registro de virus al 23 de Julio del 2007 detectan y eliminan eficientemente este gusano/backdoor.