Mimail.J

MIMAIL.J gusano de Correo, simula ser enviado por PayPal y roba información de tarjetas de crédito.

W32/Mimail.J@mm, I.worm.mimail.j@mm

Mimail.J es un gusano residente en memoria, variante de la familia Mimail, reportado el 18 de Noviembre del 2003, de alta propagación masiva a través de mensajes de correo con un archivo anexado elegido aleatoriamente de uno de los nombres: www.paypal.com.pif o InfoUpdate.exe.

El contenido del mensaje informa que la cuenta del popular portal de pagos en línea PayPal va a expirar en 5 días e invita a actualizar su información.

Simulando contener dos formularios de PayPal el gusano roba información de las tarjetas de crédito, la misma que será enviada a diversas direcciones de correo.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en MS Visual C++, con 13.5 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

El gusano emplea el SMTP (Simple Mail Transfer Protocol) del dominio del receptor del mensaje de correo. El mensaje tiene las siguientes características:

Usa la técnica Email spoofing, que reemplaza el nombre del Remitente.

Remitente: Do_Not_Reply@paypal.com
Asunto: IMPORTANT [cadena_de_caracteres_aleatorios]
Contenido:

Dear PayPal member,

We regret to inform you that your account is about to be expired in next five business days. To avoid suspension of your account you have to reactivate it by providing us with your personal information.
To update your personal profile and continue using PayPal services you have to run the attached application to this email. Just run it and follow the instructions.
IMPORTANT! If you ignore this alert, your account will be suspended in next five business days and you will not be able to use PayPal anymore.
Thank you for using PayPal.

Anexado: uno de los siguientes:

www.paypal.com.pif
InfoUpdate.exe

Al ser ejecutado el archivo infectado, se auto-copia al directorio %Windir% con el nombre de Svchost.exe y para ejecutarse la próxima vez que se re-inicie el sistema, modifica la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"svchost32" = "%Windir%\svchost32.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

El gusano libera además los siguientes archivos:

C:\pp.gif
C:\pp.hta
C:\index2.hta
C:\ppinfo.sys
C:\cansend.sys
%Windir%\svchost32.exe
%Windir%\zp3891.tmp
%Windir%\ee98af.tmp
%Windir%\el388.tmp

Estos archivos conformarán los falsos formularios web de PayPal y otros almacenarán los buzones de correo capturados para ser enviadas a diversos E-mail.

Al siguiente reinicio, el gusano muestra una primera falsa pantalla de "Registro Seguro de PayPal" que solicita la siguiente información:

Número de Tarjeta de Crédito
PIN (Número de Identificación Personal)
Código CVV (de 3 dígitos que figura en el reverso de las tarjetas de crédito)
Fecha de Expiración

Cuando se llena la información solicitada, muestra una segunda pantalla que pide las siguiente información:

Primer Nombre, Inicial del Segundo, Apellido
Fecha de Nacimiento
País
Estado
Código Postal
Ciudad
Dirección
Número de Seguro Social
Nombre de Soletera de la Madre
Licencia de Conducir
Teléfono
Email

Una vez llenado el formulario, el gusano almacena la información en el archivo ppinfo.sys e intenta acceder al dominio http://www.akamai.com para comprobar si el sistema infectado está conectado a Internet y si lo comprueba procede a ejecutar su rutinas de propagación y payloads.

Envía la información capturada a diversas direcciones de correo:

admin@kaspersky.cjb.net
ekaspersky@mail15.com
kaspersky@mail15.com

El gusano revisa y captura las direcciones de correo del cache del Explorer contenidas en la siguiente llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]

A excepción de los archivos con las siguientes extensiones:

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, a todos las direcciones de correo capturadas en el cache del Explorer que no tengan determinadas extensiones.
Usa el servidor SMTP del receptor del mensaje.
Emplea la técnica Spoofing que suplanta al nombre del remitente.
El contenido del mensaje simula contener un aviso de expiración del registro del popular medio de pago en línea PayPal.
Muestra 2 formularios que invitan al usuario a ser llenados.
Roba la información de las tarjetas de crédito y la envía a determinadas direcciones de correo.

PER ANTIVIRUS® versión 8.3 y 8.4 con registro de virus al 18 de Noviembre del 2003 detecta y elimina eficientemente este gusano.