Email-Worm.Win32.Mimail

Jest to robak rozprzestrzeniaj膮cy si臋 przez internet jako za艂膮cznik zainfekowanych wiadomo艣ci e-mail. Ma posta膰 pliku PE EXE o rozmiarze oko艂o 12 KB (kompresja UPX, rozmiar po rozpakowaniu oko艂o 30 KB).

Zainfekowane wiadomo艣ci wygl膮daj膮 nast臋puj膮co:

Od: admin@%fa艂szywy adres e-mail%.
Temat: your account %losowy tekst%.

Tre艣膰:

Hello there,

I would like to inform you about important information 
regarding your email address. This email address will be expiring.
Please read attachment for details.

---
Best regards, Administrator
---

Nazwa za艂膮cznika: message.zip.

Za艂膮cznone archiwum ZIP zawiera plik message.html. Po jego otwarciu na dysku zapisywana jest i uruchamiana kopia robaka o nazwie FOO.EXE. W celu utworzenia i uruchomienia pliku EXE szkodnik wykorzystuje luk臋 w zabezpieczeniach przegl膮darki Internet Explorer, pozwalaj膮c膮 skryptowi Javy zapisanemu w pliku HTML na uzyskanie dost臋pu do dowolnego pliku bez wy艣wietlania 偶adnego komunikatu.

Instalacja

Podczas instalacji robak kopiuje si臋 do folderu Windows z nazw膮 videodrv.exe i tworzy w rejestrze systemowym klucz auto-run:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
VideoDriver = %Folder Windows%videodrv.exe
.

Ponadto szkodnik tworzy nast臋puj膮ce kopie w folderze Windows:

  • exe.tmp - kod robaka zapisany w pliku HTML,
  • zip.tmp - powy偶szy plik zapisany w archiwum ZIP,
  • eml.tmp - lista adres贸w e-mail znalezionych na zainfekowanym komputerze.

Rozprzestrzenianie

W celu wysy艂ania zainfekowanych wiadomo艣ci e-mail robak wykorzystuje w艂asny silnik SMTP.

Adresy potencjalnych ofiar s膮 pobierane z plik贸w zapisanych w folderze Shell Folders oraz Program Files.

Dodatkowo szkodnik rozsy艂a spam pod postaci膮 wiadomo艣ci e-mail z losowym tematem oraz za艂膮czonym plikiem c: mpe.tmp zawieraj膮cym "艣mieci".