Robak ten rozprzestrzenia się za pośrednictwem Internetu jako załącznik do zainfekowanych wiadomości. Ma postać pliku PE EXE o rozmiarze 11296 bajtów (kompresja UPX, rozmiar po rozpakowaniu - około 480KB).

Instalacja

Po uruchomieniu robak kopiuje swój plik wykonywalny do głównego foldera systemu Windows:

%WinDir%svchost.exe
%WinDir%x8wui12s.tmp
%WinDir%xu39reu.tmp
%WinDir%xu298da.tmp

Aby zapewnić sobie automatyczne uruchamianie wraz z restartem systemu, robak dodaje odsyłacz do swojego pliku wykonywalnego do rejestru systemowego:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"France" = "%WinDir%svchost.exe"

Rozprzestrzenianie - poczta elektroniczna

Robak przechwytuje adresy email z książek adresowych systemu Windows. Szkodnik skanuje również pliki zlokalizowane w folderach, do których prowadzi następujący parametr klucza rejestru systemowego:

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders]

Robak skanuje również wszystkie pliki w celu znalezienia adresów email z wyjątkiem plików z poniższymi rozszerzeniami:

nom
wav
cab
pdf
rar
zip
tif
psd
ocx
vxd
mp3
mpg
avi
dll
exe
gif
jpg
bmp

Robak wykorzystuje swój własny silnik SMTP w celu wysyłania zainfekowanych wiadomości.

Zainfekowane wiadomości:

• Nadawca:

  Wendy
  

• Temat wiadomoÅ›ci:

  Re[2]
  

• Treść wiadomoÅ›ci (wybierana z poniższych):

  
  Good afternoon,
  We are going to bill your credit card for amount of $22.95 on a weekly basis.
  Free pack of 
  child porn CDs is already on the way to your billing address. If you want
  to cancel 
  membership and your CD pack please email order and credit card 
  details to security@europe.spamhaus.org
  Are you ready for all types of underage porn? 
  We have the best selection for every taste! 
  Just click the secret links below and have fun: 
  http://www.*****haus.org
   
  Nude boys under 16! 
  Nude girls under 16! 
  Incest, a daddy & a daughter! 
  We have everything you have ever dreamed for!   
  *****************
  Hi Greg its Wendy. 
  I was shocked, when I found out that it wasn't you but
  your twin brother!!! That's amazing, you're as like as two peas. No
  one in  bed is better than you Greg. I remember, I remember everything 
  very well, that promised you to tell how it was, I'll
  give you a call today after 9. 
   
  I'm so thankful to you, for acquainted me to your brother. I think we can do
  it on 
  the next Saturday all three together? What do you think? O yes, 
  as you wanted I've made a few pictures check them out in 
  archive, I hope they will excite you, and you will dream
  of our new meeting...   
  Wendy. 
  

• Nazwa zaÅ‚Ä…cznika:

  wendy.zip
  

  Załączony plik jest archiwem zawierającym następujący plik:

   
  for_greg_with_love.jpg.exe
  

Funkcje szkodnika

Robak kopiuje swój plik wykonywalny do następującego foldera:

%WinDir%Media

z następującymi nazwami:

Windows XP key generator.exe
Windows XP serial generator.exe
Key generator for all windows XP versions.exe
Warcraft 3 ONLINE key generator.exe
Half-life ONLINE key generator.exe
Quake 4 BETA.exe
Grand theft auto 3 CD1 crack.exe
GTA3 crack.exe
Battle.net key generator (WORKS!!).exe
Warcraft 3 battle.net serial generator.exe
Half-life WON key generator.exe
Star wars episode 2 downloader.exe
Winzip 8.0 + serial.exe
Winrar + crack.exe
Britney spears nude.exe
Macromedia MX key generator (all products).exe
KaZaA media desktop v2.0 UNOFFICIAL.exe
Microsoft key generator, works for ALL microsoft products!!.exe
Microsoft Windows XP crack pack.exe
Hack into any computer!!.exe
DivX codec v6.0.exe
DivX newest version.exe
DivX.exe
DivX pro key generator.exe
Key generator for over 1,000 applications (really!).exe
DivX patch - Increases quality.exe
KaZaA spyware remover.exe
Age of empires 2 crack.exe
Norton antivirus 2002.exe
Macromedia Dreamweaver MX Key Generator.exe
Macromedia Flash MX Key Generator.exe
Microsoft Office XP (english) key generator.exe
Microsoft Office XP.iso.exe
CloneCD + crack.exe
CloneCD all-versions key generator.exe
XBOX emulator (WORKS!!).exe
Gamecube Emulator (WORKS!!).exe
Xbox.info.exe
Spiderman CD 1 of 2.exe
Spiderman CD 2 of 2.exe
Blade 2 [DVD Quality].exe

Robak kopiuje również swój plik wykonywalny z podanymi wyżej nazwami do foldera, do którego prowadzi następujący parametr klucza rejestru:

[HKLMSoftwareKazaaLocalContent]
"Dir0"

Robak rozprzestrzenia się również poprzez lukę w zabezpieczeniach MSN Messenger, co umożliwia mu pobranie plików na zaatakowaną maszynę bez wiedzy czy zgody użytkownika. W tym celu robak wysyła wiadomość do wszystkich kontaktów komunikatora MSN. Kopii robaka towarzyszy jedna z poniższych wiadomości:

Hehe, check this out :-)
Funny, check it out (h)
LOL!! See this :D
LOL!! Check this out :)
Hehe, this is fun :-)

Robak tworzy również plik w %WinDir% z losowo wybraną nazwą złożoną z 11 cyfr oraz z rozszerzeniem .exe. Plik ten zawiera następujący tekst:

W32.Supernova
---------------------------------------------------
      'Patch the leaks or the ship will sink'       
---------------------------------------------------
The worm also deletes all files from the C: root directory. 

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

1. Użyj Menedżera zadań w celu zakończenia procesu trojana.
2. Usuń oryginalny plik robaka (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
3. Usuń następującą wartość klucza rejestru systemowego:

   [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
   "Supernova" = "%WinDir%.exe"

4. Usuń kopie robaka:

    
   %WinDir%BigMac.exe
   %WinDir%Hello-Kitty.exe
   %WinDir%hellokitty.exe
   %WinDir%Cheese-Burger.exe
   %WinDir%Desktop-shooting.exe
   

5. Usuń wszystkie kopie robaka z dysku twardego.
6. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).

I-Worm.Mimail.l (Kaspersky Lab), W32/Mimail.l@MM (McAfee),   W32.Mimail.L@mm (Symantec),   Win32.HLLM.Foo (Doctor Web),   W32/Mimail-L (Sophos),   Win32/Mimail.I@mm (RAV),   WORM_MIMAIL.L (Trend Micro),   Worm/Mimail.L.2 (H+BEDV),   W32/Mimail.L@mm (FRISK),   Win32:MiMail-L (ALWIL),   I-Worm/Mimail.L (Grisoft),   Win32.Mimail.L@mm (SOFTWIN),   Worm.Mimail.L (ClamAV),   W32/Mimail.L.worm (Panda),   Win32/Mimail.L (Eset)