INVIA QUESTA NOTIZIA AD UN AMICO

01 novembre 2003 08:10:18
Nome Virus  
W32.Mimail.C@mm Rischio:  Medio
Rilevato il: 31 ottobre 2003
Tipo: Worm
Sistemi operativi attaccabili: Windows NT, Windows 2000, Windows XP,Win 9x, Win ME
Sistemi operativi immuni: Linux, Macintosh, OS/2, UNIX
Caratteristiche

Una nuova pericolosa versione di un celebre worm, MiMail.A, sta diffondendosi sulla rete in queste ultime ore.  Le maggiori aziende antivirus hanno confermato l'avvistamento di numerose infezioni. Sono a rischio tutti i sistemi Windows.

Il worm si diffonde  mediante posta elettronica e sottrae informazioni dai computer infetti.
Ecco come si presenta il messaggio infetto:

 Da: james@<dominio corrente> (L'indirizzo di provenienza può essere mascherato e sembra venire dal proprio dominio)

Oggetto: Re[2]: our private photos [stringa di lettere casuale]

Messaggio:
Hello Dear!,

Finally i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're without ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)
Right now enjoy the photos.

Kiss, James.
[sequenza casuale di lettere]

Allegato: photos.zip

Il file infetto, photos.zip,  contiene solo 1 file, photos.jpg.exe. Il file zip utilizza un exploit di base del codice per creare ed eseguire una copia di photos.jpg.exe nella cartella File temporanei di Internet. Il metodo di compressione di questo file all'interno del file zip è memorizzato in modo che la compressione non venga utilizzata affatto.

Quando viene eseguito, W32.Mimail.C@mm si comporta nel modo seguente:

Si copia con il nome %Windir%\Netwatch.exe.

Nota: %Windir% è una variabile ed identifica la cartella d'installazione di Windows (che per impostazione predefinita si trova sul percorso C:\Windows o C:\Winnt) e si replica in tale posizione.

inoltre aggiunge il valore:
"NetWatch32" = "%Windir%\netwatch.exe"
alla chiave di registro
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Raccoglie poi gli indirizzi e-mail da tutti i file ad eccezione di quelli con estensioni:

  • com
  • wav
  • cab
  • pdf
  • rar
  • zip
  • tif
  • psd
  • ocx
  • vxd
  • mp3
  • mpg
  • avi
  • dll
  • exe
  • gif
  • jpg
  • bmp

    quindi:
  1. Scrive tutti gli indirizzi e-mail nel file %Windir%\eml.tmp,
  2. Controlla per vedere se è presente una connessione Internet valida provando a connettersi a www.google.com.
  3. Cattura del testo da finestre specifiche e invia i dati a indirizzi e-mail contenuti nel worm.
  4. Invia messaggi e-mail utilizzando il proprio motore SMTP. Per ciascun indirizzo e-mail al quale vuole inviarsi, il worm eseguirà le operazioni seguenti:
    1. Cerca il record MX del nome di dominio utilizzando il server DNS dell'host corrente. Se non trova un server DNS, utilizza l'indirizzo predefinito 212.5.86.163.
    2. Acquisisce il server di posta associato a quel particolare dominio.
    3. Contatta direttamente il server di destinazione.

Ricordiamo di prestare sempre la massima cautela nell'aprire file allegati alle e-mail della cui origine non si sia certi e di esercitare la massima prudenza anche in presenza di allegati provenienti da conoscenti, ma che non erano attesi e di aggiornare costantemente il programma antivirus

Alias
W32/Mimail.c@mm [McAfee], Worm_Mimail.C [Trend], W32/Mimail-C [Sophos], Mimail.C [AVP]
Maggiori informazioni e rimozione
Antivirus aggiornato
Symantec  



 

 

 

 
dot_ltblue.gif (41 byte)