El mensaje de correo electrónico que utiliza «Mimail.C» para distribuirse tiene el siguiente formato:
De: james@
Asunto: Re[2]: our private photos ???
Cuerpo del mensaje:
Hello Dear!, Finally i’ve found possibility to right u, my lovely girl 🙂 All our photos which i’ve made at the beach (even when u’re without ur bh:)) photos are great! This evening i’ll come and we’ll make the best SEX 🙂
Right now enjoy the photos.
Kiss, James.
??? (Note: ??? is a variable string)
Archivo adjunto: photos.zip
El archivo adjunto, comprimido en formato ZIP, no puede ejecutarse de forma directa, y es necesario que el usuario lo abra. En su interior se encontrará con el ejecutable «photos.jpg.exe». Con la falsa extensión JPG intenta engañar a los usuarios, haciéndoles creer que se trata de una imagen, en vez de un ejecutable.
Por defecto, Windows oculta las extensiones de formatos reconocidos, por lo que el usuario visualiza únicamente el nombre «photos.jpg», y no puede observar a primera vista la extensión verdadera (.EXE).
Para evitar estas tretas, utilizadas comúnmente por los gusanos, se recomienda forzar a Windows para que visualice todas las extensiones de archivo. Para realizar esta configuración debemos desactivar la opción «Ocultar las extensiones de archivos para tipos de archivos conocidos», que podemos encontrar en el Explorador de Windows, menú Herramientas, Opciones de carpeta, pestaña Ver, apartado Configuración avanzada.
Si el usuario cae en el engaño y ejecuta el archivo, «Mimail.C» infecta el sistema y comienza una serie de acciones. En primer lugar se copia en la carpeta de Windows (por defecto C:Windows o C:Winnt) con el nombre de archivo «netwatch.exe». A continuación añade una nueva entrada en el registro de Windows para asegurar la ejecución de esta copia del gusano cada vez que se inicie el sistema, en la clave HKLMSoftwareMicrosoftWindowsCurrentVersionRun con el valor NetWatch32 apuntando al archivo «netwatch.exe»
Adicionalmente crea dos archivos más en la carpeta de Windows, ZIP.TMP que contiene el archivo comprimido que el gusano envía por e-mail, y EXE.TMP que es el ejecutable del gusano comprimido con UPX.
El siguiente paso consiste en recolectar el mayor número de direcciones de correo electrónico, para lo que busca en todos los archivos del sistema, excepto en aquellos con extensión com, wav, cab, pdf, rar, zip, tif, psd, ocx, vxd, mp3, mpg, avi, dll, exe, gif, jpg y bmp. Las direcciones recolectadas las almacena en el archivo eml.tmp dentro de la carpeta de Windows.
Antes de comenzar el envío del gusano a las direcciones recolectadas, comprueba que el sistema infectado está conectado a Internet, para lo que intenta resolver la dirección www.google.com.
El gusano incorpora su propio motor SMTP, de forma independiente al cliente de correo que tenga instalado el usuario infectado. En primera instancia intenta conectar de forma directa con el servidor de correo del dominio al que se va a enviar, si no lo consigue, utiliza como servidor SMTP la IP 212.5.86.163.
Otras acciones adicionales que lleva a cabo el gusano son un ataque DoS (denegación de servicio) mediante el envío de paquetes (ICMP y peticiones GET HTTP) contra los sitios www.darkprofits.com y www.darkprofits.net. Además «Mimail.C» tiene la habilidad de recolectar información sensible del sistema inspeccionando las ventanas activas, como instancias de Internet Explorer o el sistema de pagos online E-Gold.
Los datos confidenciales sustraídos de estas ventanas son cifrados en el archivo C:TMPE.TMP y enviado a las direcciones de correo del supuesto creador del gusano. Estas direcciones se encuentran también cifradas en el código de «Mimail.C» y corresponden a omnibbb@gmx.net, drbz@mail15.com, omnibcd@gmx.net y kxva@mail15.com.
DESINFECCIÓN DE UN SISTEMA AFECTADO
Además del uso de un antivirus actualizado, la desinfección manual de «Mimail.C» es relativamente sencilla. En primer lugar hay que asegurarse que el gusano no se encuentre en memoria, para lo que haremos lo siguiente:
En Windows 9x/ME, reiniciamos el sistema en Modo Seguro (presionamos la tecla F8 cuando va a comenzar la carga de Windows y seleccionamos el arranque en modo seguro).
En Windows NT/2000/XP, debemos finalizar el proceso NETWATCH.EXE desde el administrador de procesos (accesible a través de la combinación de teclas Ctrl+Alt+Del).
A continuación borramos los siguientes archivos copiados por el gusano en la carpeta Windows, por defecto c:windows o c:winnt:
NETWATCH.EXE
EXE.TMP
EML.TMP
Por último tendremos que borrar la entrada en el registro de Windows que llama al gusano cada vez que se inicia el sistema. A través de la utilidad regedit.exe, buscamos y borramos el valor NetWatch32 en HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Más información:
Win32.Mimail.C@mm
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=164
Win32.Mimail.C
http://www3.ca.com/virusinfo/virus.aspx?ID=37439
W32/Mimail.C@mm
http://www.f-prot.com/virusinfo/descriptions/mimail_c.html
Mimail.C
http://www.f-secure.com/v-descs/bics.shtml
Worm.Win32.Mimail.C
http://www.globalhauri.com/html/notice/notice_read.html?uid=303
New Mimail Worm Promises Exotic Photographs & Harasses E-Gold
http://www.kaspersky.com/news.html?id=1880823
W32/Mimail.c@MM
http://vil.nai.com/vil/content/v_100795.htm
Mimail.C
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=41539
W32.Mimail.C@mm
http://www.sarc.com/avcenter/venc/data/w32.mimail.c@mm.html
W32/Mimail-C
http://www.sybari.com/alerts/alertdetail.asp?Name=W32/Mimail-C
W32/Mimail-C
http://www.sophos.com/virusinfo/analyses/w32mimailc.html
WORM_MIMAIL.C
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.C
Bernardo Quintero
bernardo@hispasec.com
Noticias Hispasec
