SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | |||
Nueva variante de virus w32/Mimail que intenta robar información de la tarjeta de crédito del usuario.
Nombre de virus: W32/Mimail.s@MM
Alias conocidos: I-Worm.Mimail.r , W32.Mimail.R@mm
Riesgo Infección: Medio
(Bajo, Medio, Alto, Muy Alto)
Propagación: Por comparticiones administrativas del sistema
Activación: Por
ejecución remota de fichero .PIF, .SCR o .EXE
Detección: desde
DATS 4321
Motor necesario: desde 4.2.60
Infección actual: Inicial (Inicial, Media, Elevada)
W32/Mimail.s@MM es un gusano de envío masivo por correo electrónico, que utiliza su propio motor SMTP para replicar, también intenta robar los datos de la tarjeta de crédito del usuario.
Propagación por email
El gusano recopila direcciones de email del equipo infectado, añadiendo .org, .net o .com a ciertas cadenas que encuentra en ficheros del directorio C:\Program Files. Estas direcciones de email se escriben en:
· C:\windows\outlook.cfg
El asunto y mensaje de email los construye a partir de cadenas que se encuentran en el cuerpo del gusano. Por ejemplo:
Asunto: here is the file you asked for
Mensaje: Hi! Here is the file you asked for!
Adjunto: document.txt.scr
De manera similar, los nombres de fichero y extensiones utilizados para el adjunto se construyen desde cadenas encontradas dentro del cuerpo del gusano. El adjunto está codificado en BASE64. Las posibles extensiones de fichero utilizadas son las siguientes:
· .pif
· .scr
· .exe
· .jpg.scr
· .jpg.pif
· .jpg.exe
· .gif.exe
· .gif.pif
· .gif.scr
Robo de Datos
Este gusano intenta robar información de la tarjeta de crédito del usuario, visualizando la siguiente ventana falsa de licencia de Microsoft (la imagen se muestra cortada) Los número de tarjeta de crédito robados se envían a direcciones de email que se encuentran en el cuerpo del gusano. Las direcciones están dentro de los dominios @mail15.com y @ziplip.com. La información robada se almacena en el fichero:
· C:\XX
Síntomas
El gusano comprueba que el número de tarjeta de crédito introducido no sea falso, y en caso contrario visualiza el mensaje siguiente:
Asimismo crea los siguientes ficheros:
· C:\ms.hta - html
· C:\WINDOWS\outlook.cfg - direcciones de email recopiladas
· C\WINDOWS\rabbit.exe - cuerpo del gusano
· C:\WINDOWS\x -cuerpo del gusano
Crea la siguiente clave de registro para ejecutar el gusano al inicio:
· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "RabbitWannaHome"= %WINDIR%\rabbit.exe
Detección y eliminación
El gusano se controla desde los DAT
4321 , para su eliminación se recomienda ejecutar la
versión 1.8 de nuestra utilidad ELIMIMA ya disponible en el área de descarga de utilidades de www.satinfo.es.
SATINFO, VIRUSCAN SPAIN SERVICE 05 de Febrero de 2004
