NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

 

Nueva variante de virus w32/Mimail que intenta robar información de la tarjeta de crédito del usuario.

 

Nombre de virus: W32/Mimail.s@MM
Alias conocidos:
I-Worm.Mimail.r , W32.Mimail.R@mm
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación:
Por comparticiones administrativas del sistema
Activación: Por ejecución remota de fichero .PIF, .SCR o .EXE
Detección: desde DATS 4321
Motor necesario: desde 4.2.60
Infección actual:
Inicial (Inicial, Media, Elevada)

W32/Mimail.s@MM es un gusano de envío masivo por correo electrónico, que utiliza su propio motor SMTP para replicar, también intenta robar los datos de la tarjeta de crédito del usuario.

 

Propagación por email

El gusano recopila direcciones de email del equipo infectado, añadiendo .org, .net o .com a ciertas cadenas que encuentra en ficheros del directorio C:\Program Files. Estas direcciones de email se escriben en:

· C:\windows\outlook.cfg

El asunto y mensaje de email los construye a partir de cadenas que se encuentran en el cuerpo del gusano. Por ejemplo:

Asunto: here is the file you asked for
Mensaje: Hi! Here is the file you asked for!
Adjunto: document.txt.scr

De manera similar, los nombres de fichero y extensiones utilizados para el adjunto se construyen desde cadenas encontradas dentro del cuerpo del gusano. El adjunto está codificado en BASE64. Las posibles extensiones de fichero utilizadas son las siguientes:

· .pif

· .scr

· .exe

· .jpg.scr

· .jpg.pif

· .jpg.exe

· .gif.exe

· .gif.pif

· .gif.scr

 

Robo de Datos

Este gusano intenta robar información de la tarjeta de crédito del usuario, visualizando la siguiente ventana falsa de licencia de Microsoft (la imagen se muestra cortada) Los número de tarjeta de crédito robados se envían a direcciones de email que se encuentran en el cuerpo del gusano. Las direcciones están dentro de los dominios @mail15.com y @ziplip.com. La información robada se almacena en el fichero:

· C:\XX

 

Síntomas

El gusano comprueba que el número de tarjeta de crédito introducido no sea falso, y en caso contrario visualiza el mensaje siguiente:


Asimismo crea los siguientes ficheros:

· C:\ms.hta - html

· C:\WINDOWS\outlook.cfg - direcciones de email recopiladas

· C\WINDOWS\rabbit.exe - cuerpo del gusano

· C:\WINDOWS\x -cuerpo del gusano

 

Crea la siguiente clave de registro para ejecutar el gusano al inicio:

· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "RabbitWannaHome"= %WINDIR%\rabbit.exe

 

 

Detección y eliminación
El gusano se controla desde los DAT 4321 , para su eliminación se recomienda ejecutar la versión 1.8 de nuestra utilidad ELIMIMA ya disponible en el área de descarga de utilidades de www.satinfo.es.

SATINFO, VIRUSCAN SPAIN SERVICE 05 de Febrero de 2004

Anterior