Mimail.F

MIMAIL.F gusano destructivo de propagación masiva, ocasiona ataques DoS y satura servicios de Internet.

W32/Mimail.F@mm, I.worm.mimail.f@mm

Mimail.F es un gusano destructivo, residente en memoria, variante de la familia Mimail, reportado el 03 de Noviembre del 2003, de alta propagación masiva a través de mensajes de correo con un archivo anexado Sysloader32.exe, el cual actuando como "dropper" libera otros archivos de diferentes extensiones.

Ocasiona ataques DoS a varios dominios y satura Protocolos de Mensajes de Internet y de HTTP.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en MS Visual C++, con 10 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

El gusano usa por defecto el SMTP (Simple Mail Transfer Protocol) 212.5.86.163, ubicado en Rusia, pero también puede usar el servidor SMTP existente en los sistemas infectados.

El mensaje tiene las siguientes características:

Para el Remitente usa la técnica Email spoofing, que reemplaza el nombre verdadero por john@ pero mantiene el dominio del servidor de correo.

Asunto: don't be late! [30 espacio][caracteres_aleatorios]
MContenido:
Will meet tonight as we agreed, because on Wednesday I don't think I'll make it,
so don't be late. And yes, by the way here is the file you asked for.
It's all written there. See you.

[caracteres_aleatorios]
Anexado: readnow.zip

Al ser ejecutado el archivo infectado, se auto-copia al directorio %Windir% con el nombre de Sysload32.exe y para ejecutarse la próxima vez que se re-inicie el sistema, el gusano modifica la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SystemLoad32" = "%Windir%\Sysload32.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente re-inicio el gusano borra los siguientes archivos en caso que éstos existan en el sistema:

ZIP.TMP
EXE.TMP
EML.TMP

Luego genera una copia de sí mismo en el directorio %Windir% con la extensión EXE.TMP, el mismo que emplea para generar otro archivo con formato .ZIP, de nombre ZIP.TMP, el cual contiene el código viral destructivo y que se descomprime con el nombre de READNOW.DOC.SCR.

El gusano emplea el archivo ZIP.TMP en la cabecera .ZIP, la misma que se encuentra cifrada y que inserta unos datos en los archivos que infecta. El archivo .ZIP contiene el gusano en formato descomprimido.

Luego libera los siguientes archivos en el directorio %Windir%:

EXE.TMP (el archivo comprimido que es enviado como anexado al mensaje de correo)
EML.TMP (almacena las direcciones de correo del sistema infectado)
ZIP.TMP (el archivo con extensión .ZIP que el gusano envía como anexado)

Una vez activado en memoria se auto-registra como un proceso de servicios para evitar ser visualizado en la lista de tareas de Windows 95/98/Me.

Se auto-envía a todos los direcciones de correo contenidos en todos los archivos del sistema que no tengan las siguientes extensiones:

Intenta acceder al dominio http://www.google.com, para comprobar si el sistema infectado está conectado a Internet y si lo ratifica procede a ejecutar su rutinas de propagación y payloads.

El gusano realiza un ataque de Negación de Servido (DoS) en contra de los siguientes dominios:

www.mysupersales.com
www.mysupersales.net
mysupersales.com
mysupersales.net

Finalmente ocasiona saturaciones en el Protocolo de Mensajes de Internet (Internet Control Message Protocol) y el HTTP (HyperText Transfer Protocol).

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, a todos las direcciones de correo capturadas en los archivos del sistema que no tengan determinadas extensiones.
Usa un por defecto un servidor SMTP ubicado en Rusia para el auto-envío masivo, pero también puede emplear el instalado en los sistemas infectados.
Emplea la técnica Spoofing que suplanta al nombre del remitente, conservando el dominio del servidor de correo.
Ocasiona un ataque de Negación de Servicios (DoS) a determinados sitios en la web.
Finalmente genera saturaciones en el Protocolo de Mensajes de Internet y el HTTP.

PER ANTIVIRUS® versión 8.3 con registro de virus al 03 de Noviembre del 2003 detecta y elimina eficientemente este gusano.