Una nuova variante del worm Mimail, la W32.Mimail.J@mm, è in circolazione in queste ore.
Simile alle altre varianti che lo hanno preceduto è facilmente riconoscibile dal suo "Mittente", "Allegato", "Oggetto" e "Corpo del messaggio".
Mittente: Do_Not_Reply@paypal.com
Allegato: InfoUpdate.exe oppure www.paypal.com.pif
Oggetto: IMPORTANT (più una serie di carratteri casuali)
Corpo del messaggio:
Dear PayPal member,
We regret to inform you that your account is about to be expired in next five business days. To avoid suspension of your account you have to reactivate it by providing us with your personal information.
To update your personal profile and continue using PayPal services you have to run the attached application to this email. Just run it and follow the instructions.
IMPORTANT! If you ignore this alert, your account will be suspended in next five business days and you will not be able to use PayPal anymore.
Thank you for using PayPal.
N.B.
Ricordatevi che qualora eseguiste l'allegato vi verrà mostrata una falsa autorizzazione PayPal
Il worm aggiunge una serie di files nel disco:
c:\cansend.sys
c:\pp.gif (icona paypal)
c:\pp.hta (interfaccia grafica)
c:\ppinfo.sys (dettagli della tua carta di credito)
%WinDir%\ee98af.tmp (copia del worm)
%WinDir%\el388.tmp (indirizzi mail)
%WinDir%\svchost32.exe (copia del worm)
%WinDir%\zp3891.tmp
Aggiunge inoltre il valore SvcHost32 = %WinDir%\svchost32.exe nella chiave
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
Per propagarsi e quindi infettare altre macchine usa un proprio motore SMTP (Simple Mail Transfer Protocol) la ricerca degli indirizzi cui spedirsi è fatta all'interno di tutti i files presenti sul pc infetto fatta eccezione di quelli aventi estensioni:
.COM
.WAV
.CAB
.RAR
.ZIP
.TIF
.PSD
.OCX
.VXD
.MP3
.MPG
.AVI
.DLL
.EXE
.GIF
.JPG
.BMP
W32.Mimail.J@mm
Marco(amvinfe)
Rispondi quotando
