Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Mimail.p - ewolucja trwa

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze 57 888 bajtów.

Zainfekowane wiadomości posiadają następujące pola:

  • Adres nadawcy:
    donotreply@paypal.com
  • Temat:
    GREAT NEW YEAR OFFER FROM PAYPAL.COM!
  • Treść:
    *** GREAT NEW YEAR OFFER FROM PAYPAL.COM ***
    
    Dear PayPal.com Member,
    
    We here at PayPal.com are pleased to announce 
    that we have a special New Year offer for you! 
    If you currently have an account with PayPal 
    then you will be eligible to receive a terrific 
    prize from PayPal.com for the New Year. For 
    a limited time only PayPal is offering to add 10% 
    of the total balance in your PayPal account to 
    your account and all you have to do is register
    yourself within the next five business days 
    with our application (see attachment)! 
    
    If at this time you do not have a PayPal 
    account of your own you can also register 
    yourself with our secure application and get 
    this great New Year bonus! If you fill out the 
    secure form we have provided PayPal will 
    create an account for you (it's free) and you 
    will receive a confirmation e-mail that your 
    account has been created.
    
    That's not all! If you resend this letter (with 
    its attachment) to all of your friends you may 
    be eligible to receive another New Year 
    bonus because the 1000 PayPal members that 
    send the most of these to their friends will get 
    the bonus. If you are one of these 1000 lucky 
    members then PayPal will add 17% of your 
    total balance to your account!
    
    Registration is simple. Just unpack the 
    attachment with WinZip, run the application, 
    and follow the instructions we have provided. 
    If you have problems opening the application 
    then you may want to try downloading a free 
    version of WinZip from 
    http://www.winzip.com
    
    Do not miss your chance at this fantastic 
    opportunity! Thousands of our current 
    customers have already received their prizes 
    and now it's your turn; so hurry up and take 
    advantage of this special offer!
    
    Best of luck in the New Year,
    PayPal.com Team
    
  • Nazwa załącznika: pp-app.zip.

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik rozpakuje załączone archiwum i uruchomi zapisany w nim plik wykonywalny.

Instalacja

Robak kopiuje się do folderu Windows z nazwą Winmgr.32.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

W folderze głównym dysku C: robak tworzy następujące pliki wykorzystywane do wyświetlania fałszywego formularza:

  • index.hta
  • index2.hta
  • tmpcan3.txt
  • tmpny3.txt

Dodatkowo szkodnik tworzy dwa pliki w folderze Windows:

  • zipzip.tmp
  • ee98af.tmp

Wysyłanie zainfekowanych wiadomości e-mail

W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje własną bibliotekę SMTP, bezpośrednie połączenie z serwerem SMTP oraz serwer DNS 212.5.86.163.

Adresy potencjalnych ofiar pobierane są z wszystkich plików (z wyjątkiem posiadających rozszerzenia: JPG, GIF, EXE, DLL, AVI, MPG, MP3, VXD, OCX, PSD, TIF, ZIP, RAR, PDF, CAB, WAV, COM). Szkodnik szuka linii zawierających następujące teksty:

  • .ca
  • .au
  • .uk
  • .us
  • .edu
  • .gov
  • .mil
  • .de
  • .it
  • .ru
  • .fr
  • .info
  • .org
  • .net
  • .com
  • @email.msn.com
  • @prodigy.net
  • @safe-mail.net@excite.com
  • @zwallet.com
  • @erols.com
  • @bigpond.com
  • @usa.net
  • @bigfoot.com
  • @bellsouth.net
  • @attglobal.net
  • @att.net
  • @attbi.com
  • @email.it
  • @lycos.com
  • @sbcglobal.net
  • @shaw.ca
  • @themail.com
  • @verizon.net
  • @yahoo.com
  • @msn.com
  • @mail.com
  • @hotmail.com
  • @earthlink.net
  • @aol.com

Informacje dodatkowe

Po uruchomieniu robak wyświetla na ekranie zainfekowanego komputera okno z formularzem do wpisania danych dotyczących karty kredytowej. Wpisane przez użytkownika informacje są zapisywane w pliku c:\tmpny3.txt, a następnie wysyłane do twórcy szkodnika.

Podobnie do wersji Mimail.a, Mimail.b oraz Mimail.c, nowy szkodnik kradnie informacje z systemu E-Gold, a ponadto wysyła do swojego twórcy następujące dane o zainfekowanym systemie:

  • nazwa konta,
  • hasło POP3,
  • nazwa użytkownika POP3,
  • serwer NNTP,
  • nazwa użytkownika NNTP,
  • serwer SMTP,
  • nazwa wyświetlana SMTP,
  • adres e-mail SMTP,
  • nazwa organizacji SMTP,
  • hasła serwera INETCOMM.

Robak zmienia stronę startową przeglądarki Interent Explorer na łącze prowadzące do obrazka przedstawiającego George'a Busha: http://www.anvari.org/db/fun/World_Trade_Center/Bush_Monkey.jpg.

Dodatkowo szkodnik otwiera port 5555 i oczekuje na polecenia.



 2004-01-16  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych