13 stycznia 2004

I-Worm.Mimail.g - kolejna wersja

Jest to modyfikacja robaka I.Worm.Mimail.e. Ma rozmiar około 10 KB (kompresja UPX, rozmiar po rozpakowaniu - 22 KB).

Różnice w porównaniu z poprzednimi wersjami

Robak kopiuje się z nazwą sysload32.exe do folderu Windows i tworzy w rejestrze systemowym klucz auto-run:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"SystemLoad32" = "%Folder Windows\sysload32.exe"

Zainfekowane wiadomości e-mail posiadają następujące pola:

  • Adres nadawcy:
    john@recipient domain
  • Temat:
    don't be late!
  • Treść
    Will meet tonight as we agreed, 
    because on Wednesday I don't think I'll make it, 
    so don't be late. And yes, by the way here is the 
    file you asked for. It's all written there. See you.
  • Nazwa załącznika: readnow.zip

Załączone archiwum zawiera plik robaka - readnow.doc.scr.

Mimail.g nie zawiera funkcji kradnącej informacje systemu E-Gold.

Robak, identycznie jak Mimail.c przeprowadza atak DoS na serwisie mysupersales.com.