Email-Worm.Win32.Mimail.p
Zainfekowane wiadomo艣ci posiadaj膮 nast臋puj膮ce pola:
- Adres nadawcy:
donotreply@paypal.com
- Temat:
GREAT NEW YEAR OFFER FROM PAYPAL.COM!
- Tre艣膰:
*** GREAT NEW YEAR OFFER FROM PAYPAL.COM *** Dear PayPal.com Member, We here at PayPal.com are pleased to announce that we have a special New Year offer for you! If you currently have an account with PayPal then you will be eligible to receive a terrific prize from PayPal.com for the New Year. For a limited time only PayPal is offering to add 10% of the total balance in your PayPal account to your account and all you have to do is register yourself within the next five business days with our application (see attachment)! If at this time you do not have a PayPal account of your own you can also register yourself with our secure application and get this great New Year bonus! If you fill out the secure form we have provided PayPal will create an account for you (it's free) and you will receive a confirmation e-mail that your account has been created. That's not all! If you resend this letter (with its attachment) to all of your friends you may be eligible to receive another New Year bonus because the 1000 PayPal members that send the most of these to their friends will get the bonus. If you are one of these 1000 lucky members then PayPal will add 17% of your total balance to your account! Registration is simple. Just unpack the attachment with WinZip, run the application, and follow the instructions we have provided. If you have problems opening the application then you may want to try downloading a free version of WinZip from http://www.winzip.com Do not miss your chance at this fantastic opportunity! Thousands of our current customers have already received their prizes and now it's your turn; so hurry up and take advantage of this special offer! Best of luck in the New Year, PayPal.com Team
- Nazwa za艂膮cznika: pp-app.zip.
Robak aktywuje si臋 z zainfekowanej wiadomo艣ci tylko wtedy, gdy u偶ytkownik rozpakuje za艂膮czone archiwum i uruchomi zapisany w nim plik wykonywalny.
Robak kopiuje si臋 do folderu Windows z nazw膮 Winmgr.32.exe i tworzy w rejestrze systemowym klucz auto-run:
W folderze g艂贸wnym dysku C: robak tworzy nast臋puj膮ce pliki wykorzystywane do wy艣wietlania fa艂szywego formularza:
- index.hta
- index2.hta
- tmpcan3.txt
- tmpny3.txt
Dodatkowo szkodnik tworzy dwa pliki w folderze Windows:
- zipzip.tmp
- ee98af.tmp
W celu wysy艂ania zainfekowanych wiadomo艣ci e-mail robak wykorzystuje w艂asn膮 bibliotek臋 SMTP, bezpo艣rednie po艂膮czenie z serwerem SMTP oraz serwer DNS 212.5.86.163.
Adresy potencjalnych ofiar pobierane s膮 z wszystkich plik贸w (z wyj膮tkiem posiadaj膮cych rozszerzenia: JPG, GIF, EXE, DLL, AVI, MPG, MP3, VXD, OCX, PSD, TIF, ZIP, RAR, PDF, CAB, WAV, COM). Szkodnik szuka linii zawieraj膮cych nast臋puj膮ce teksty:
- .ca
- .au
- .uk
- .us
- .edu
- .gov
- .mil
- .de
- .it
- .ru
- .fr
- .info
- .org
- .net
- .com
- @email.msn.com
- @prodigy.net
- @safe-mail.net@excite.com
- @zwallet.com
- @erols.com
- @bigpond.com
- @usa.net
- @bigfoot.com
- @bellsouth.net
- @attglobal.net
- @att.net
- @attbi.com
- @email.it
- @lycos.com
- @sbcglobal.net
- @shaw.ca
- @themail.com
- @verizon.net
- @yahoo.com
- @msn.com
- @mail.com
- @hotmail.com
- @earthlink.net
- @aol.com
Po uruchomieniu robak wy艣wietla na ekranie zainfekowanego komputera okno z formularzem do wpisania danych dotycz膮cych karty kredytowej. Wpisane przez u偶ytkownika informacje s膮 zapisywane w pliku c: mpny3.txt, a nast臋pnie wysy艂ane do tw贸rcy szkodnika.
Podobnie do wersji
- nazwa konta,
- has艂o POP3,
- nazwa u偶ytkownika POP3,
- serwer NNTP,
- nazwa u偶ytkownika NNTP,
- serwer SMTP,
- nazwa wy艣wietlana SMTP,
- adres e-mail SMTP,
- nazwa organizacji SMTP,
- has艂a serwera INETCOMM.
Robak zmienia stron臋 startow膮 przegl膮darki Interent Explorer na 艂膮cze prowadz膮ce do obrazka przedstawiaj膮cego George'a Busha: http://www.anvari.org/db/fun/World_Trade_Center/Bush_Monkey.jpg.
Dodatkowo szkodnik otwiera port 5555 i oczekuje na polecenia.