Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Mimail - rozsyła spam

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 12 KB (kompresja UPX, rozmiar po rozpakowaniu około 30 KB).

Zainfekowane wiadomości wyglądają następująco:

Od: admin@%fałszywy adres e-mail%.
Temat: your account %losowy tekst%.

Treść:

Hello there,

I would like to inform you about important 
information regarding your email address. 
This email address will be expiring.
Please read attachment for details.

---
Best regards, Administrator
---

Nazwa załącznika: message.zip.

Załącznone archiwum ZIP zawiera plik message.html. Po jego otwarciu na dysku zapisywana jest i uruchamiana kopia robaka o nazwie FOO.EXE. W celu utworzenia i uruchomienia pliku EXE szkodnik wykorzystuje lukę w zabezpieczeniach przeglądarki Internet Explorer, pozwalającą skryptowi Javy zapisanemu w pliku HTML na uzyskanie dostępu do dowolnego pliku bez wyświetlania żadnego komunikatu.

Instalacja

Podczas instalacji robak kopiuje się do folderu Windows z nazwą videodrv.exe i tworzy w rejestrze systemowym klucz auto-run:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
VideoDriver = %Folder Windows%\videodrv.exe
.

Ponadto szkodnik tworzy następujące kopie w folderze Windows:

  • exe.tmp - kod robaka zapisany w pliku HTML,
  • zip.tmp - powyższy plik zapisany w archiwum ZIP,
  • eml.tmp - lista adresów e-mail znalezionych na zainfekowanym komputerze.

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje własny silnik SMTP.

Adresy potencjalnych ofiar są pobierane z plików zapisanych w folderze Shell Folders oraz Program Files.

Dodatkowo szkodnik rozsyła spam pod postacią wiadomości e-mail z losowym tematem oraz załączonym plikiem c:\tmpe.tmp zawierającym "śmieci".



 2003-08-04  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych