Mimail.S

MIMAIL.S gusano de Correo, simula formulario de Microsoft roba información de tarjetas de crédito, etc.

W32/Mimail.S@mm, I.worm.mimail.S@mm

Mimail.S es un gusano residente en memoria, variante de la familia Mimail, reportado el 29 de Enero del 2004, de alta propagación masiva a través de mensajes de correo con Asuntos y Contenidos aleatorios, con un archivo anexado de nombre variable, con una o dos extensiones .exe, .pif, .gif, jpg o .scr, que contienen el archivo rabbit.exe y actuando como "dropper" libera el archivo ms.hta el cual es copiado al directorio raíz.

Al reiniciarse el sistema, el gusano captura direcciones de correo de diversas carpetas, a excepción de archivos con determinadas extensiones.

Luego muestra un falso formulario de expiración de Microsoft que invita al usuario a ingresar datos, captura la información de las tarjetas de crédito, las almacena en un archivo y luego las envía a direcciones de correo cifradas, con los dominios @mail15.com. y @ziplip.com.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en MS Visual C++ con 11.5 KB de extensión y que libera un archivo ms.htm que contiene el formulario de Microsoft en formato HTML.

El gusano emplea su propio servidor SMTP (Simple Mail Transfer Protocol) para enviarse a las direcciones que extrae del sistema.

Los Asuntos y Contenidos son aleatorios y se encuentran cifrados dentro del código del virus.

Anexado, los archivos tienen 3 componentes con uno de los siguientes nombres:

my
priv
private
prv
the
best
super
great
cool
wild
sex

seguidos de una o dos líneas subrayadas y una de las siguientes palabras:

pic
img
phot
photos
pctrs
images
imgs
scene
plp
act
action

con una de estas extensiones:

.pif
.scr
.exe
.jpg.scr
.jpg.pif
.jpg.exe
.gif.exe
.gif.pif
.gif.scr

Ejemplo: private__photos.gif.pic

Inicialmente revisa y captura las direcciones de correo de las siguientes rutas:

C:\

C:\Archivos de programa\

Carpeta de Datos de Aplicaciones

Escritorio

Carpeta de Programas Comunes

Carpeta de Inicio

Templates (plantillas)

Documentos

Favoritos

Que no contengan las extensiones:

Las direcciones extraídas son almacenadas en la ruta:

%Windir%\Outlook.cfg

Al hacer click en el archivo anexado, el gusano se registra como un servicio de Windows con el objeto de permanecer activo en memoria y se auto-copia al directorio %Windir% con el nombre de Rabbit.exe, de 11.5 KB de extensión.

Luego libera un Script de nombre MS.HTA en el directorio raíz y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RabbitWannaHome" = "%Windir%\rabbit.exe"

Al siguiente reinicio, el script muestra en pantalla una supuesta Notificación de Expiración de Windows e invita al usuario a ingresar siguiente información:

Número de Tarjeta de Crédito
Fecha de Expiración
Código CVV (de 3 dígitos que figura en el reverso de las tarjetas de crédito)

El gusano muestra en pantalla la siguiente caja de diálogo para conminar a ingresar la correcta información:

Los datos son almacenados en C:\xx

Luego de almacenados posteriormente son enviados a unas direcciones de correo de nombre cifrados con los dominios @mail15.com. y @ziplip.com, que se supone pertenecen al autor del virus.

El gusano verifica constantemente si el sistema está conectado a Internet conectándose a www.google.com.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo con Asuntos, Contenidos y archivos Anexados aleatorios.
Captura las direcciones de correo del directorio raíz y de determinas carpetas, a excepción de archivos con ciertas extensiones.
Muestra un falso formulario de Notificación de Expiración de Windows.
Invita al usuario a llenar la información de su tarjeta de crédito.
Roba las direcciones de correo del sistema infectado.
Roba la información de las tarjetas de crédito y la envía a direcciones cifradas de 2 dominios específicos.

PER ANTIVIRUS® versión 8.4 y 8.5 con registro de virus al 29 de Enero del 2004 detecta y elimina este gusano.