Mimail

MIMAIL gusano no destructivo de alta propagación masiva, aprovecha 2 vulnerabilidades del sistema.

W32/Mimail@mm

Mimail es un gusano no destructivo, residente en memoria, reportado el 02 de Agosto del 2003, de muy alta propagación masiva a través de mensajes de correo con un archivo anexado de nombre message.zip, el cual libera un archivo .HTML

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003

Posee su propio servidor SMTP (Simple Mail Transfer Protocol) y se auto-envía masivamente a las direcciones de correo capturadas en todos los archivos del sistema, excepto en los siguientes:

Está desarrollado en Visual C++, con una extensión de 12 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Las características del mensaje son las siguientes:

Remitente: admin@Nombre_de dominio (perteneciente al usuario que recibe el mensaje)
Asunto:
your account %xyz%
Contenido:
Hello there,
I would like to inform you about important information regarding your
email address. This email address will be expiring.
Please read attachment for details.
---
Best regards, Administrator
%xyz%

Anexado: message.zip

%xyz% es una cadena de hasta 8 caracteres aleatorios o asociados al dominio del remitente.

Al ser ejecutado el archivo infectado, se auto-copia al directorio %Windir% con el nombre de VIDEODRV.EXE:

Para ejecutarse la próxima vez que se re-inicie el sistema, el gusano modifica la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"VideoDriver" = "%Windir%\videodrv.exe"

Del mismo modo crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft\Code Store Database\Distribution
Units\
{11111111-1111-1111-1111-111111111111]

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente re-inicio el gusano libera en el directorio %Windir% los siguientes archivos:

ZIP.TMP (el archivo comprimido que es enviado como anexado al mensaje de correo).
EXE.TMP (el archivo HTML y el ejecutable comprimido con el UPX).
EML.TMP (almacena las direcciones de correo del sistema infectado)

El archivo message.zip contiene el el message.htm, el cual aprovecha una falla del sistema, para crear una copia del gusano, con el nombre foo.exe en la carpeta de archivos temporales de Internet, la misma que es auto-ejecutada.

El gusano explota dos vulnerabilidades (MHTML y Object Tag code base) y cuyos parches se pueden descargar de las siguientes direcciones:

Estas vulnerabilidades afectan a los siguientes programas:

Microsoft Outlook Express 5.5
Microsoft Outlook Express 6.0
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6.0

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, a todos las direcciones de correo capturadas en los archivos del sistema que las contengan.
Posee su propio servidor SMTP para el auto-envío masivo, con un efecto multiplicador.
El gusano aprovecha 2 vulnerabilidades del sistema, actualmente corregidas.
No tiene efectos nocivos, excepto su muy alta propagación masiva.
Intenta saturar servidores de correo, estaciones de trabajo y equipos domésticos.

PER ANTIVIRUS® versión 8.2 con registro de virus al 02 de Agosto del 2003 detecta y elimina eficientemente este gusano.