El gusano w32/Mimail.c@MM propaga como archivo ZIP, realiza un ataque de denegación de servicios y contiene un payload de robo de información.

Incluye similitudes con un gusano previo, w32/Mimail@MM. Sin embargo, esta variante no utiliza los exploits codebase y MHTML como hacían sus variantes previas.

Un resumen de las características del virus son las siguientes:

• contiene su propio motor SMTP para construir mensajes
• se envía por e-mail como archivo ZIP
• recopila direcciones de correo de la máquina local
• envía grandes volúmenes de datos a un servidor remoto - payload DoS (ver más abajo)
• captura información y la envía por e-mail a cuatro direcciones

Para una detección óptima, sería importante tener activada siempre la exploración de ficheros comprimidos.

Propagación por correo
Las direcciones de e-mail a donde propagarse las recopila de ficheros del equipo afectado. El gusano ignora la extracción de direcciones de los ficheros con las siguientes extensiones:

• avi
• bmp
• cab
• com
• dll
• exe
• gif
• jpg
• mp3
• mpg
• ocx
• pdf
• psd
• rar
• tif
• vxd
• wav
• zip

Las direcciones recopiladas las escribe en el fichero EML.TMP en %WinDir% (habitualmente c:\windows). Se ha comprobado que el gusano no verifica la correcta sintaxis de las direcciones de e-mail, lo cual puede provocar que en algunos casos se envíe a direcciones destino no válidas.

Los mensajes salientes se envían utilizando el propio motor SMTP del gusano. El formato es el siguiente:

Asunto : Re[2]: our private photos (mas espacios adicionales y entonces caracteres aleatorios)
Adjunto : PHOTOS.ZIP (12,958 bytes) que contiene PHOTOS.JPG.EXE (12,832 bytes)
Mensaje :
Hello Dear!,
Finally, i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're withou ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)

Right now enjoy the photos.
Kiss, James.
(caracteres aleatorios - los mismos con los que terminaba el Asunto)

Los mensajes se contruyen con las siguientes X-headers:

X-Mailer: The Bat! (v1.62)
X-Priority: 1 (High)

La dirección remitente ('From') de los mensajes salientes suelen presentar el siguiente formato:

james@(dominio destino.com)

Denegación de Servicio
El gusano envía una gran cantidad de datos a servidores remotos. Verifica que se establezca la conexión con www.google.com, y si tiene éxito, inicia un ataque de denegación de servicio a los siguientes dominios:

• darkprofits.net
• darkprofits.com
• www.darkprofits.net
• www.darkprofits.com

Payload de robo de información
Las siguientes direcciones de e-mail están encriptadas en el cuerpo del virus y se utilizan para enviarles la información capturada.