31 października 2003

I-Worm.Mimail.c - przechwytuje dane systemu e-gold

Jest to kolejna wersja groźnego robaka internetowego, rozprzestrzeniającego się za pośrednictwem poczty elektronicznej pod postacią pliku photos.jpg.zip. Szkodnik ma postać aplikacji Windows (plik PE EXE) o rozmiarze około 12 KB (kompresja UPX, rozmiar po rozpakowaniu - około 27 KB). Robak znany jest również jako I-Worm.WatchNet.

Zainfekowane wiadomości e-mail wyglądają następująco:

  • Adres nadawcy: james@odbiorca.domena;
  • Temat: Re[2]: our private photos;
  • Treść:

    Hello Dear!,
    Finally i've found possibility to right u, my lovely girl :)
    All our photos which i've made at the beach (even when u're without ur bh:))
    photos are great! This evening i'll come and we'll make the best SEX :)
    Right now enjoy the photos.
    Kiss, James.

  • Nazwa załącznika: photos.jpg.zip (rzeczywista nazwa to photos.jpg.exe).

Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi załącznik.

Instalacja w systemie

Robak zapisuje w folderze Windows własną kopię z nazwą netwatch.exe i tworzy w rejestrze systemowym klucz auto-run:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NetWatch32 = %Folder Windows%\netwatch.exe
.

Ponadto szkodnik tworzy w folderze Windows następujące pliki:

  • exe.tmp;
  • zip.tmp- kopia robaka zapisana w archiwum ZIP;
  • eml.tmp - lista adresów e-mail znalezionych na zainfekowanych komputerach.

W celu utworzenia archiwum ZIP robak wykorzystuje własne procedury.

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości e-mail szkodnik wykorzystuje własny silnik SMTP. Adresy potencjalnych ofiar pobierane są z plików zapisanych w folderach Shell Folders oraz Program Files.

Informacje dodatkowe

Robak szuka w systemie aplikacji e-gold służącej do wykonywania płatności elektronicznych (http://www.e-gold.com). Po wykryciu tego programu szkodnik zapisuje przepływające przez niego dane w pliku c:\tmpe.tmp. Plik ten jest następnie wysyłany pod cztery adresy e-mail.

Mimail.c przeprowadza atak DDoS (Distributed Denial of Service) na serwery www.darkprofits.com oraz www.darkprofits.net, wysyłając do nich w nieskończonej pętli pakiety o losowych rozmiarach.