I-Worm/Mabutu.a是群發郵件的蠕蟲,郵件主題和附屬檔案名都是變化的,附屬檔案為·txt、.scr、.zip檔案。感染此病毒後導致系統以及網路性能大大降低。
基本介紹
基本信息,傳播過程及特徵,
基本信息
影響平台:Win9X/2000/XP/NT/Me/2003
傳播過程及特徵
1.複製自身:
%Windir%\<任意值>.exe --- 27,136 位元組
生成檔案:
%Windir%\<任意值>.dll --- 39,936 位元組
%WinDir%\CFG.DAT
2.修改註冊表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsfot\Windows\CurrentVersion\Run]
"winupdt"="RUNDLL32.EXE %Windir%\[任意值].dll,_mainRD"
3.在連線埠6667連線IRC伺服器:
chat1.voila.fr
austin.tx.us.undernet.org
mesa.az.us.undernet.org
surrey.uk.eu.undernet.org
stockholm.se.eu.undernet.org
moscow.ru.eu.undernet.org
haarlem.nl.eu.undernet.org
amsterdam.nl.eu.undernet.org
amsterdam2.nl.eu.undernet.org
quebec.qu.ca.undernet.orggraz2.at.eu.undernet.org
toronto.on.ca.undernet.org
montreal.qu.ca.undernet.org
vancouver.bc.ca.undernet.org
graz.at.eu.undernet.org
london.uk.eu.undernet.org
brussels.be.eu.undernet.org
diemen.nl.eu.undernet.org
oslo.no.eu.undernet.org
flanders.be.eu.undernet.org
lulea.se.eu.undernet.org
los-angeles.ca.us.undernet.org
phoenix.az.us.undernet.org
washington.dc.us.undernet.org
atlanta.ga.us.undernet.org
manhattan.ks.us.undernet.org
baltimore.md.us.undernet.org
lasvegas.nv.us.undernet.org
newyork.ny.us.undernet.org
dallas.tx.us.undernet.org
saltlake.ut.us.undernet.org
arlington.va.us.undernet.org
auckland.nz.undernet.org
ann-arbor.mi.us.undernet.org
newbrunswick.nj.us.undernet.org
plano.tx.us.undernet.org
mclean.va.us.undernet.org
caen.fr.eu.undernet.org
4.從Windows地址簿和HTM ,HTML ,WAB ,TXT等類型的檔案里收集郵件地址,並利用自帶的SMTP引擎傳送自身,郵件特徵:
發件人:偽造地址
主題:下列之一
Hi
Hello
Important
I'm in love
Sex
Wet girls
I'm nude
Fetishes
gutted
Ok cunt
附屬檔案:下列之一
britney.jpg
jenifer.jpg
photo.jpg
creme_de_gruyere.jpg
details
document
message
並具有.scr、.zip或.txt擴展名,附屬檔案名中可能包含一些空格。
