Email-Worm.Win32.Mimail
Zainfekowane wiadomo艣ci wygl膮daj膮 nast臋puj膮co:
Od: admin@%fa艂szywy adres e-mail%.
Temat: your account %losowy tekst%.
Tre艣膰:
Hello there, I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details. --- Best regards, Administrator ---
Nazwa za艂膮cznika: message.zip.
Za艂膮cznone archiwum ZIP zawiera plik message.html. Po jego otwarciu na dysku zapisywana jest i uruchamiana kopia robaka o nazwie FOO.EXE. W celu utworzenia i uruchomienia pliku EXE szkodnik wykorzystuje luk臋 w zabezpieczeniach przegl膮darki Internet Explorer, pozwalaj膮c膮 skryptowi Javy zapisanemu w pliku HTML na uzyskanie dost臋pu do dowolnego pliku bez wy艣wietlania 偶adnego komunikatu.
Instalacja
Podczas instalacji robak kopiuje si臋 do folderu Windows z nazw膮 videodrv.exe i tworzy w rejestrze systemowym klucz auto-run:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
VideoDriver = %Folder Windows%videodrv.exe.
Ponadto szkodnik tworzy nast臋puj膮ce kopie w folderze Windows:
- exe.tmp - kod robaka zapisany w pliku HTML,
- zip.tmp - powy偶szy plik zapisany w archiwum ZIP,
- eml.tmp - lista adres贸w e-mail znalezionych na zainfekowanym komputerze.
Rozprzestrzenianie
W celu wysy艂ania zainfekowanych wiadomo艣ci e-mail robak wykorzystuje w艂asny silnik SMTP.
Adresy potencjalnych ofiar s膮 pobierane z plik贸w zapisanych w folderze Shell Folders oraz Program Files.
Dodatkowo szkodnik rozsy艂a spam pod postaci膮 wiadomo艣ci e-mail z losowym tematem oraz za艂膮czonym plikiem c: mpe.tmp zawieraj膮cym "艣mieci".