|
W32/Mimail.P@mm, I.worm.mimail.p@mm
 |
Mimail.P es
un gusano residente en memoria, variante de la familia Mimail,
reportado el 8 de Enero del 2004, de alta propagación masiva a través de mensajes de correo con un
archivo anexado de nombre PP-APP.ZIP
el cual libera un archivo EXE
de nombre variable y otros de diversas extensiones.
Simulando ofertas de Año de Nuevo de PayPal el gusano roba información de las tarjetas de crédito, la misma que será enviada a través del puerto 5555. |
También captura información del sistema relacionada a los servidores de Correo POP3 y SMTP y otros servicios, enviándola por correo al autor del gusano.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en MS Visual C++, comprimido en formato ZIP con 56.6 KB de extensión y el archivo ejecutable de 23.5 KB comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Usa la técnica Email spoofing, que reemplaza el nombre del Remitente.
El gusano emplea el SMTP (Simple Mail Transfer Protocol) del dominio del receptor del mensaje de correo. El mensaje tiene las siguientes características:
Remitente: "PayPal.com" donotreply@paypal.com
In-Reply-To: donotreply@paypal.com
Asunto:GREAT NEW YEAR OFFER FROM
PAYPAL.COM!
[8_caracteres_aleatorios]
Contenido:
| *** GREAT NEW YEAR OFFER FROM PAYPAL.COM *** Dear PayPal.com Member, We here at PayPal.com are pleased to announce that we have a special New Year offer for you! If you currently have an account with PayPal then you will be eligible to receive a terrific prize from PayPal.com for the New Year. For a limited time only PayPal is offering to add 10% of the total balance in your PayPal account to your account and all you have to do is register yourself within the next five business days with our application (see attachment)! If at this time you do not have a PayPal account of your own you can also register yourself with our secure application and get this great New Year bonus! If you fill out the secure form we have provided PayPal will create an account for you (it's free) and you will receive a confirmation e-mail that your account has been created. That's not all! If you resend this letter (with its attachment) to all of your friends you may be eligible to receive another New Year bonus because the 1000 PayPal members that send the most of these to their friends will get the bonus. If you are one of these 1000 lucky members then PayPal will add 17% of your total balance to your account! Registration is simple. Just unpack the attachment with WinZip, run the application, and follow the instructions we have provided. If you have problems opening the application then you may want to try downloading a free version of WinZip from http://www.winzip.com Do not miss your chance at this fantastic opportunity! Thousands of our current customers have already received their prizes and now it's your turn; so hurry up and take advantage of this special offer! Best of luck in the New Year, PayPal.com Team |
Anexado: pp-app.zip
Al ser ejecutado, el gusano se registra como un proceso, para evitar ser visualizado en la Barra de Tareas de Windows 95/98/Me y libera los siguientes archivos en el directorio raíz de C:\
Se auto-copia al directorio %Windir% con los siguientes archivos:
Para ejecutarse la próxima vez que se re-inicie el sistema, modifica la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WinMgr32" = "%Windir%\winmgr32.exe"
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
Al siguiente reinicio, el gusano ejecuta los archivos INDEX.HTA e INDEX2.HTA que muestran falsos formatos de una supuesta "GRAN OFERTA DE AÑO NUEVO DE PaYPaL" y que solicita la siguiente información:
Una vez ingresados los datos, muestra una segunda pantalla que pide las siguiente información:
La tercera ventana pide hacer click en el botón "OK" y procede a almacenar la información ingresada de los formularios en el archivo C:\tempny3.txt. Luego el gusano intenta acceder a www.google.com para comprobar si el sistema infectado está conectado a Internet.
De lograrlo abre el puerto TCP 5555 (Agente Personal) a través del cual
enviará la información al hacker autor del gusano. Luego procede a ejecutar su
rutinas de propagación y payloads.
El gusano revisa y captura las
direcciones de correo de todas las unidades de disco del sistema a excepción de los archivos
con las siguientes extensiones:
También cambia la página de acceso a Internet configurada por defecto a la siguiente dirección:
http://www.anvari.org/db/fun/World_Trade_Center/Bush_Monkey.jpg (clausurada)
En este URL se muestran diversas fotografías del presidente George Bush con unos monos. Asimismo captura la siguiente información contenida en el sistema infectado:
Esta información es almacenada y enviada a una dirección de Correo del hacker, la misma que se encuentra cifrada con complejos algoritmos dentro del código viral del gusano.
Sus payloads son los siguientes:
PER ANTIVIRUS® versión 8.4 con registro de virus al 8 de Enero del 2004 detecta y elimina eficientemente este gusano.
