Mimail.Q

MIMAIL.Q gusano de Correo, simula formulario de Microsoft roba información de tarjetas de crédito, etc.

W32/Mimail.Q@mm, I.worm.mimail.q@mm

Mimail.Q es un gusano residente en memoria, variante de la familia Mimail, reportado el 27 de Enero del 2004, de alta propagación masiva a través de mensajes de correo con un archivo anexado de nombres variables, cifrados dentro del código del virus con una o dos extensiones, el cual al ser ejecutado libera 2 archivos polimórficos y binarios.

Simulando contener una Notificación de Expiración de Windows invita al usuario a ingresar información personal y de su tarjeta de crédito. Asimismo captura datos del usuario del portal de pagos e-gold.com, en caso el usuario tuviese una cuenta en el mismo.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en MS Visual C++ con 32 KB de extensión y que libera un componente de 50 KB.

El gusano emplea su propio servidor SMTP (Simple Mail Transfer Protocol) para enviarse a las direcciones que extrae del sistema. El mensaje más propagado, tiene estas características:

Remitente: [dirección_del_usuario_receptor]
Asunto: uno de los siguientes:

Hi my sweet Nancy!
smart photos PRIVATE
Hi my sweet Nancy ...
sexy picture FOR YOU ONLY
Good evening my darling Margaret

Contenido (ejemplo):

Hi my sweet Nancy,

I have been thinking about you all night...
I would like to apologize for the other night when we made beautiful love and
did not use condoms.

I know.. this was a mistake and I beg you to forgive me..
Nancy, I miss you more than anything, please call me, I need you...
Do you remember when we were avina wild sex in my house? I remember it all
like it was only yesterday.

You said that the photos would not come out good, but you were wrong, they are
great.
I didn't want to show you the pictures at first, but.. now I think it's time
for you to see them.
Please look in the attachment and you will see what I mean.

I love you with all my heart,
Frank

Anexado: es un archivo polimórfico binario de 32 KB construido de cadenas cifradas dentro del código del virus, que puede tener una de las siguientes extensiones:

SCR
EXE
PIF
JPG.SCR
JPG.PIF
JPG.EXE
GIF.EXE
GIF.PIF

Al ser ejecutado, el gusano muestra una falsa caja de diálogo:

En primer lugar libera una copia de sí mismo en el directorio %Windir% con el nombre de Sys32.exe, de 32 KB de extensión.

Luego libera un archivo binario de nombre Outlook.exe de 50 KB en el mismo directorio %Windir% y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"System" = "%Windir%\Sys32.exe"

Outlook.exe se registra como un proceso, para evitar ser visualizado en la Barra de Tareas de Windows 95/98/Me y libera los siguientes archivos en el directorio raíz de C:\

logo.jpg de 1292 bytes (logo de Microsoft Windows)
logobig.gif de 948 bytes (logo de Microsoft de un color)
mshome.hta de 7 KB (contiene el falso formulario HTML)
wind.gif de 2660 bytes (gráfico del formulario)

Al siguiente reinicio, el gusano revisa la unidad C:\ y busca los cookies que pudiesen existir relacionados a la cadena e-gold.com, perteneciente al Portal de Pagos en Línea e-Gold, creando una llave de registro específica.

Luego presenta en pantalla una supuesta Notificación de Expiración de Windows e invita al usuario a ingresar siguiente información:

Nombre completo
Dirección, Estado, Código Postal
Ciudad, dirección de Facturación
Dirección de Correo
Número de Tarjeta de Crédito
Fecha de Expiración
Código CVV (de 3 dígitos que figura en el reverso de las tarjetas de crédito)

PIN (Número de Identificación Personal)

La información es almacenada en C:\Mminfo.txt

El gusano verifica si el sistema está conectado a Internet al intentar acceder a www.google.com y de lograrlo se conecta al puerto TCP 3000 (RemoteWare Client) y ejecuta el comando CMD.EXE, permitiendo al autor del virus tomar control de la Línea de Comandos, capturar la información almacenada, incluyendo la del portal de pagos en línea e-gold, etc.

El gusano revisa y captura las direcciones de correo de las siguientes rutas:

C:\
C:\Archivos de programa\
Carpeta de Datos de Aplicaciones
Escritorio
Carpeta de Programas Comunes
Carpeta de Inicio

Que no contengan las extensiones:

Las direcciones extraídas son almacenadas en la ruta:

%Windir%\Outlook.cfg

Haciendo uso de su servidor SMTP (Simple Mail Transfer Protocol) se auto-envía masivamente a los buzones de correo almacenados, con Asuntos, Contenidos y Anexados variables registrados en su código viral.

Dentro del código del virus se puede leer estas cadenas de texto:

*** GLOBAL WARNING: if any free email company or hosting company will
close/filter my emai l/site accounts, it will be DDoS'ed in next version.
WARNING: centrum.cz will be DDoS'ed in next versions, coz they have closed my
mimail-email account. Who next? ***

visit our friendly site www.blackgate.us

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo con Asuntos, Contenidos y archivos Anexados aleatorios.
Captura las direcciones de correo del directorio raíz y de determinas carpetas, a excepción de archivos con ciertas extensiones.
Captura los cookies, si los hubiera, del portal de pagos e-gold.com.
Muestra un falso formulario de Notificación de Expiración de Windows.
Invita al usuario a llenar su información personal y la de su tarjeta de crédito.
Roba la información de las tarjetas de crédito y de los usuarios del portal de pagos en línea e-gold.com y la envía al hacker a través del puerto TCP 3000.
Abre un túnel en la Línea de Comandos CMD que permite al hacker ejecutar órdenes en forma remota.

PER ANTIVIRUS® versión 8.4 y 8.5 con registro de virus al 27 de Enero del 2004 detecta y elimina este gusano.