NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Nueva variante de virus w32/Mimail@MM que se adjunta como fichero ejecutable ww.paypal.com.scr o paypal.asp.scr y pretende robar datos de tarjeta de crédito.

 

Nombre de virus: W32/Mimail.i@MM
Alias conocidos: W32.Paylap@mm
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico
Activación: Por ejecución de fichero adjunto (.scr)
Detección: desde DATS 4304
Motor necesario: desde 4.2.60
Infección actual: Inicial (Inicial, Media, Elevada)

Esta nueva variante de w32/Mimail.gen@MM intenta robar información de tarjetas de crédito, visualizando un falso mensaje de PayPal, como se muestra más abajo. la información del usuario se guarda en un fichero denominado ppinfo.sys, que se envía a cuatro direcciones de correo electrónico definidas en el interior del gusano.

El gusano construye mensajes de e-mail utilizando su propio motor SMTP.

Se presenta en un mensaje de e-mail como el siguiente:

Remitente: "PayPal.com" donotreply@paypal.com
Asunto: YOUR PAYPAL.COM ACCOUNT EXPIRES

Dear PayPal member,

PayPal would like to inform you about some important information regarding your PayPal account. This account, which is associated with the email address will be expiring within five business days. We apologize for any inconvenience that this may cause, but this is occurring because all of our customers are required to update their account settings with their personal information. We are taking these actions because we are implementing a new security policy on our website to insure everyone's absolute privacy. To avoid any interruption in PayPal services then you will need to run the application that we have sent with this email (see attachment) and follow the instructions. Please do not send your personal information through email, as it will not be as secure. IMPORTANT! If you do not update your information with our secure application within the next five business days then we will be forced to deactivate your account and you will not be able to use your PayPal account any longer. It is strongly recommended that you take a few minutes out of your busy day and complete this now. DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This mail is sent by an automated message system and the reply will not be received. Thank you for using PayPal

Adjunto (uno de los siguientes):

  • www.paypal.com.scr
  • paypal.asp.scr


Cuando se ejecuta el fichero adjunto, aparece la siguiente ventana:

PAYPAL.GIF (19892 bytes)

Propagación por correo
Las direcciones de e-mail a donde propagarse las recopila de ficheros del equipo afectado. El gusano ignora la extracción de direcciones de los ficheros con las siguientes extensiones:

  • avi
  • bmp
  • cab
  • com
  • dll
  • exe
  • gif
  • jpg
  • mp3
  • mpg
  • ocx
  • pdf
  • psd
  • rar
  • tif
  • vxd
  • wav
  • zip

Robo de información de Tarjeta de Crédito
La información de tarjeta de crédito que entra el usuario se guarda en C:\PPINFO.SYS. El gusano intenta entonces enviar estos datos a direcciones de email encapsuladas en el propio código vírico. Las direcciones destino se engloban todas dentro del dominio CENTRUM.CZ


Síntomas
Añade la siguiente clave de registro para ejecutar el virus al inicio del sistema:

· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "SvcHost32" = %WinDir%\svchost32.exe

 

Asimismo, crea los siguientes ficheros:

  • · c:\pp.gif (icono paypal)
  • · c:\pp.hta (interfaz gráfica)
  • · c:\ppinfo.sys (los datos de tarjeta de crédito)
  • · %WinDir%\ee98af.tmp (copia del gusano)
  • · %WinDir%\el388.tmp (direcciones de email recopiladas)
  • · %WinDir%\svchost32.exe (copia del gusano)
  • · %WinDir%\zp3891.tmp

Nota: %WinDir% es una variable para el nombre del directorio de Windows. El gusano no utiliza este nombre exacto. Simplemente utiliza el directorio de sistema %WinDir%.


Método de infección
Este virus propaga por email. El equipo se infecta al ejecutar manualmente el fichero adjunto.

Detección y eliminación
El gusano se controla desde los DAT 4304 , para su eliminación se recomienda ejecutar nuestra utilidad ELIMIMA .

 

SATINFO, VIRUSCAN SPAIN SERVICE 14 de Noviembre de 2003

Anterior