Mimail.L

MIMAIL.L gusano de Correo usa técnica Spoofing causa variedad de estragos incluyendo ataques DoS.

W32/Mimail.L@mm, I.worm.mimail.l@mm

Mimail.L es un gusano residente en memoria, variante de la familia Mimail, reportado el 03 de Diciembre del 2003, de alta propagación masiva a través de mensajes de correo con el archivo anexado Svchost.exe, de apenas 11 KB de extensión, el mismo que libera varios componentes.

De acuerdo al número de ejecuciones, en la memoria dinámica, ocasiona una diversidad de efectos y estragos.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en MS Visual C++, con 11 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Usa la técnica Email spoofing, que reemplaza el nombre del Remitente.

El gusano emplea el SMTP (Simple Mail Transfer Protocol) del dominio del receptor del mensaje de correo. Los mensajes tienen las siguientes características:

Remitente: Wendy [security@europe.spamhaus.org] aunque aleatoriamente puede usar cualquiera de los siguientes dominios de correo:

billing.authorizenet.com
billing.spamcop.net
billing.carderplanet.net
billing.cardcops.com
billing.register.com
billing.spews.org
billing.spamhaus.org

Asunto: We are going to bill your credit card'
Contenido 1:

Good afternoon,
We are going to bill your credit card for amount of $22.95 on a weekly basis.
Free pack of child porn CDs is already on the way to your billing address.
If you want to cancel membership and your CD pack please email order and
credit card details to security@europe.spamhaus.org

Are you ready for all types of underage porn?
We have the best selection for every taste!
Just click the secret link below and have fun:
http://www.spamhaus.org
http://www.spews.org
http://www.register.com
http://www.cardcops.com
http://www.carderplanet.net
http://www.spamcop.net
http://disney.go.com
http://www.authorizenet.com/
Nude boys under 16!
Nude girls under 16!
Incest, a daddy & a daughter!
We have everything you have ever dreamed for!

Scanned by evaluation version of Dr.Web antivirus Daemon
http://drweb.ru/unix/

Contenido 2:

Hi Greg its Wendy.

I was shocked, when I found ou t that it wasn,27h,t you but your twin brother!!! That,27h,s
amazing, you,27h,re as like as two peas. No one in bed is better than you Greg. I remember,
I remember everything very well, that promised you to tell how it was, I,27h,ll, give you a call
today after 9.

He took my skirt off, then my, panties, then my bra, he sucked my tits, with the same fury you
do it. He was writing alphabet on my pussy for 20 minutes, then sud denly stopped, put me in
doggy style position and stuck his dagger.But Greg, why didn,27h,t you warn me that his dick
is 15 inches long???? I was struck, we fucked whole night.,

I,27h,m so thankful to you, for acquainted me to your brother. I think we can do it on , the
next Saturday all three together? What do you think? O y es, as you wanted I,27h,ve made a
few pictures check them out in archive, I hope they will excite you, and you will dream, of our
new meeting... ,9

Wendy. ,0

Anexado: wendy.zip(for_greg_with_love.jpg.exe)

Al ser ejecutado el archivo infectado, se auto-copia al directorio %Windir% con el nombre de Svchost.exe y para ejecutarse la próxima vez que se re-inicie el sistema, modifica la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"France" = "%Windir%\svchost32.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

El gusano liberará además los siguientes archivos:

%Windir%\Svchost.exe de 11 KB que es el gusano en sí.
%Windir%\Xu39reu.tmp de 11 KB y que es una copia de sí mismo.
%Windir%\X8wui2s.tmp de 11 KB que es una copia comprimida de sí mismo.
%Windir%\Xu298da.tmp con extensión variable y donde almacena las direcciones del sistema infectado.

Eventualmente, el gusano puede borrar estos archivos.

Los días Jueves, Viernes o Sábados crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"France" = "%Windir%\virmakers"

El gusano además revisa la siguiente lave de registro, la misma que contiene los archivos que el gusano busca para extraer las direcciones de correo:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]

Revisa todos los archivos contenidos en esas carpetas a excepción de las siguientes extensiones:

Aleatoriamente el gusano intenta ejecuta un ataque DoS, de Negación de Servicio, a los siguientes portales:

www.authorizenet.com
disney.go.com
www.spamcop.net
www.carderplanet.net
www.cardcops.com
www.register.com
www.spews.org
www.spamhaus.org

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, usando la técnica Spoofing para el remitente, con un archivo anexado y 2 contenidos aleatorios.
El gusano, actuando como "dropper" libera varios archivos.
Captura las direcciones de correo del sistema a excepción de algunas archivos con determinadas extensiones y los almacena en un archivo temporal para enviar mensajes masivos.
Usa el servidor SMTP del receptor del mensaje.
Intenta saturar algunos portales en Internet por medio de ataques DoS de Negación de Servicio.

PER ANTIVIRUS® versión 8.4 con registro de virus al 03 de Diciembre del 2003 detecta y elimina eficientemente este gusano.