Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Mimail.i - udaje wiadomość od administratora systemu płatności on-line PayPal

Jest to robak rozprzestrzeniający się za pośrednictwem poczty elektronicznej jako zainfekowany załącznik paypal.asp.scr. Mimial.i ma postać aplikacji Windows (plik PE EXE) o rozmiarze około 12 KB (kompresja UPX, rozmiar po rozpakowaniu - około 30 KB).

Zainfekowane wiadomości wyglądają następująco:

  • Adres nadawcy:
    donotreply@paypal.com
    

  • Temat:
    YOUR PAYPAL.COM ACCOUNT EXPIRES
    

  • Treść:
    Dear PayPal member,
    PayPal would like to inform you about some important 
    information regarding your PayPal account. 
    This account, which is associated with this email 
    address will be expiring within five business days. 
    We apologize for any inconvenience that this 
    may cause, but this is occurring because all of 
    our customers are required to update their account 
    settings with their personal information.
    
    We are taking these actions because we are 
    implementing a new security policy on our 
    website to insure everyone's absolute privacy. 
    To avoid any interruption in PayPal services 
    then you will need to run the application that 
    we have sent with this email (see attachment) 
    and follow the instructions. Please do not send 
    your personal information through email, as it 
    will not be as secure.
    
    IMPORTANT! If you do not update your information 
    with our secure application within the next five 
    business days then we will be forced to 
    deactivate your account and you will not be able 
    to use your PayPal account any longer. It is 
    strongly recommended that you take a few minutes 
    out of your busy day and complete this now.
    
    DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This mail 
    is sent by an automated message system and the 
    reply will not be received.
    
    Thank you for using PayPal.
    

  • Nazwa załącznika: paypal.asp.scr.

Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany załącznik.

Zachowanie robaka

Po uruchomieniu Milmail.i wyświetla okno dialogowe z prośbą o wypełnienie formularza danymi dotyczącymi karty kredytowej PayPal. Wszystkie wpisane przez użytkownika dane są zapisywane w pliku ppinfo.sys, a ten jest wysyłany do twórcy szkodnika.

Następnie robak kopiuje się z nazwą svchost32.exe do folderu Windows i tworzy w rejestrze systemowym klucz auto-run:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SvcHost32 = %Folder Windows%\svchost32.exe
.

Mimail.i tworzy także dwa pliki w folderze głównym dysku C: - pp.gif oraz pp.hta. Pliki te są wykorzystywane do wyświetlania na ekranie zainfekowanego komputera formularza PayPal.

Ponadto szkodnik tworzy następujące pliki w folderze Windows:

  • zp3891.tmp;
  • ee98af.tmp;
  • el388.tmp.

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości e-mail Mimail.i wykorzystuje własny silnik SMTP. Adresy ofiar pobierane są z plików zapisanych w folderach Shell Folders oraz Program Files.



 2003-11-18  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych