Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm.W32/Mimail@MM

Alias:
W32.Mimail.A@mm (Symantec), WORM_MIMAIL.A (Trend Micro), W32/Mimail-A (Sophos), W32/Mimail@MM (McAfee), Win32/Mimail.A (Enciclopedia Virus (Ontinent)), W32/Mimail (Panda Software), W32/Mimail@mm (PerAntivirus), W32/Mimail.A (Hacksoft), I-Worm.Mimail (Kaspersky (viruslist.com)), JS_CBASE.EXP1 (Trend Micro), Win32.Mimail.A (Computer Associates), JScript/CodeBase.Exploit (Computer Associates), Mimail (F-Secure), Win32.Mimail.A@mm (Bit Defender), W32/Mimail.A@mm (Norman), Win32/Mimail.A@mm (RAV)

Descripción:
Gusano sin efectos dañinos con gran capacidad de propagación que se difunde mediante el envío masivo de correos electrónicos de un mensaje con el anexo "message.zip".

Aprovecha una vulnerabilidad de Internet Explorer para descargar y ejecutar una rutina javascript en el sistema infectado.

Detalles:
Cuando Worm.W32/Mimail@MM es ejecutado, realiza las siguientes acciones:

  1. Se copia a sí mismo como %Windir%\Videodrv.exe.
  2. Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows: 
    Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
Valor: VideoDriver = %Windir%\videodrv.exe
  3. Recopila todas las direcciones electrónicas que se encuentren en archivos del sistema, excepto aquellos cuya extensión sea alguna de las siguientes:
    • ".bmp"
    • ".jpg"
    • ".gif"
    • ".exe"
    • ".dll"
    • ".avi"
    • ".mpg"
    • ".mp3"
    • ".vxd"
    • ".ocx"
    • ".psd"
    • ".tif"
    • ".zip"
    • ".rar"
    • ".pdf"
    • ".cab"
    • ".wav"
    • ".com"
  4. Escribe todas estas direcciones electrónicas en el fichero %Windir%\eml.tmp, donde %Windir% es el directorio de Windows, normalmente C:\Windows o C:\WINNT
  5. Captura texto de ciertas ventanas y envía estos datos a una dirección de correo que el gusano lleva incluida en su código.
  6. Utiliza su propio motor SMTP (Simple Mail Transfer Protocol) para propagarse mediante el envío masivo de correo electrónico.
    El mensaje enviado tiene el siguiente formato:     
    De: admin@- dominio del destinatario -
Asunto: your account + 25 caracteres en blanco + 8 caracteres aleatorios...
Cuerpo:
Hello there,
I would like to inform you about important information regarding your email address.
This email address will be expiring. Please read attachment for details.
Best regards,
Administrator
Fichero Anexo: Message.zip
El anexo comprimido de extensión .zip, contiene el fichero Message.htm, que aprovecha una vulnerabilidad que le permite a una rutina en javascript embebida en un HTML, ejecutarse en el sistema local. El javascript de este .HTML copia primero el fichero FOO.EXE, embebido en su código a un archivo temporal y seguidamente lo ejecuta.
Las primeras líneas de MESSAGE.HTML, contienen el siguiente texto: 
  MIME-Version: 1.0
  Content-Location:File://foo.exe
  Content-Transfer-Encoding: binary
Los programas afectados por esta vulnerabilidad, son los siguientes:
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 6.0

Puede encontrar más información sobre esta vulnerabilidad y la posibilidad de descargar el parche que la repara, en el Boletín de Seguridad de Microsoft.

Cuando el fichero HTML es ejecutado (con doble click sobre el anexo), el usuario ve en el Internet Explorer un texto con grandes letras rojas sobre fondo negro en el que se puede leer:
Please wait loading message .....
Seguidamente, crea la siguiente entrada en el registro de Windows: 
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\
Distribution Units\
Valor: {11111111-1111-1111-1111-111111111111}

Clave:
HKEY_CLASSES_ROOT\CLSID
Valor: {11111111-1111-1111-1111-111111111111}
Además, el gusano crea dos ficheros adicionales en el directorio de instalación de Windows:
  • Zip.tmp: Copia temporal de message.zip (30.079 bytes).
  • Exe.tmp: Copia temporal de message.html (29.957 bytes).

Solución:

a) Eliminación mediante el uso de un antivirus actualizado.
Se encuentran disponibles herramientas de desinfección gratuitas proporcionadas por los siguientes fabricantes:
b) Eliminación manual:
  1. Eliminación del valor indicado añadido a la siguiente clave del registro de Windows, para evitar la ejecución automática del gusano cada vez que se reinice el sistema. 
    Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
Valor: VideoDriver = %Windir%\videodrv.exe
  2. Eliminación de los valores indicados que han sido añadidos a las siguientes claves del registro por acción del gusano: 
    Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\
Distribution Units\
Valor: {11111111-1111-1111-1111-111111111111}

Clave: HKEY_CLASSES_ROOT\CLSID
Valor: {11111111-1111-1111-1111-111111111111}
  3. Parchear Internet Explorer para reparar la vulnerabilidad utilizada por este virus.

    La descarga se puede realizar desde la siguiente página del Boletín de Seguridad de Microsoft.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados