I-Worm/Mabutu.a

病毒长度：32,768 字节, 48,640 字节

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me/2003

I-Worm/Mabutu.a群发邮件蠕虫，邮件主题和附件名都是变化的，附件为.txt、.scr、.zip文件。感染此病毒后导致系统以及网络性能大大降低。

传播过程及特征：

1.复制自身：

%Windir%\\<任意值>.exe --- 27,136 字节

生成文件：

%Windir%\\<任意值>.dll --- 39,936 字节

%WinDir%\\CFG.DAT

2.修改注册表：

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsfot\\Windows\\CurrentVersion\\Run]

"winupdt"="RUNDLL32.EXE %Windir%\\[任意值].dll,_mainRD"

3.在端口6667连接IRC服务器：

chat1.voila.fr

austin.tx.us.undernet.org

mesa.az.us.undernet.org

surrey.uk.eu.undernet.org

stockholm.se.eu.undernet.org

moscow.ru.eu.undernet.org

haarlem.nl.eu.undernet.org

amsterdam.nl.eu.undernet.org

amsterdam2.nl.eu.undernet.org

quebec.qu.ca.undernet.orggraz2.at.eu.undernet.org

toronto.on.ca.undernet.org

montreal.qu.ca.undernet.org

vancouver.bc.ca.undernet.org

graz.at.eu.undernet.org

london.uk.eu.undernet.org

brussels.be.eu.undernet.org

diemen.nl.eu.undernet.org

oslo.no.eu.undernet.org

flanders.be.eu.undernet.org

lulea.se.eu.undernet.org

los-angeles.ca.us.undernet.org

phoenix.az.us.undernet.org

washington.dc.us.undernet.org

atlanta.ga.us.undernet.org

manhattan.ks.us.undernet.org

baltimore.md.us.undernet.org

lasvegas.nv.us.undernet.org

newyork.ny.us.undernet.org

dallas.tx.us.undernet.org

saltlake.ut.us.undernet.org

arlington.va.us.undernet.org

auckland.nz.undernet.org

ann-arbor.mi.us.undernet.org

newbrunswick.nj.us.undernet.org

plano.tx.us.undernet.org

mclean.va.us.undernet.org

caen.fr.eu.undernet.org

4.从Windows地址簿和HTM ，HTML ，WAB ，TXT等类型的文件里收集邮件地址，并利用自带的SMTP引擎发送自身，邮件特征：

发件人：伪造地址

主题：下列之一

Hi

Hello

Important

I'm in love

Sex

Wet girls

I'm nude

Fetishes

gutted

Ok cunt

附件：下列之一

britney.jpg

jenifer.jpg

photo.jpg

creme_de_gruyere.jpg

details

document

message

并具有.scr、.zip或.txt扩展名，附件名中可能包含一些空格。