Descrizione Breve

Il worm Mimail.C si diffonde tramite email con un allegato compresso di tipo ZIP che contiene il componente eseguibile del worm dal nome PHOTOS.JPG.EXE. Il worm tenta un attacco di tipo DoS (Denial of Service) verso certi siti e tenta di rubare informazioni dal computer infetto.

Il file eseguibile, di tipo PE, ha una dimensioni di 12832 bytes ed è compresso con UPX. Il pacchetto decompresso ha dimensioni di 28192 bytes

Installazione nei sistemi

Quando il worm viene eseguito, si registra come processo e non è visibile nella lista dei Task sui S.O. Windows 9x. Mimail.C crea una copia di se stesso con nome NETWATCH.EXE all'interno della directory di Windows e crea una chiave di avvio all'interno del registro di configurazione:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"NetWatch32" = "%windir%\netwatch.exe"

dove %windir% è il nome della directory di Windows.

Se sono presenti, il worm elimina i seguenti file dalla cartella di Windows:

zip.tmp
exe.tmp
eml.tmp

Dopo il worm si copia nella directory di Windows con nome EXE.TMP e crea l'archivio ZIP ZIP.TMP. Questo file ZIP contiene la copia del worm con nome PHOTOS.JPG.EXE.

Il worm attiva il proprio payload e inizia la propagazione se riesce a risolvere l'indirizzo 'www.google.com'

Diffusione via e-mail

Il worm si diffonde via email che contengono un allegato di tipo ZIP al cui interno è presente la componente eseguibile del worm con nome PHOTOS.JPG.EXE. Il worm falsifica l'indirizzo del mittente componendolo come 'james@' ed il nome del dominio di posta del destinatario. Un messaggio infetto ha la seguente struttura:

From:

james@recipient_domain_name

Subject:

Re[2]: our private photos <alcuni caratteri scelti a caso>

Body:

Hello Dear!,

Finally i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're without ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)

Right now enjoy the photos.
Kiss, James.
<alcuni caratteri scelti a caso>

Allegato:

photos.zip

Il worm non utilizza nessun Exploit per auto-eseguirsi. Esso sarà in grado di infettare il PC solo dopo che l'utente abbia decompresso l'allegato e lanciato l'eseguibile.

Per collezionare indirizzi email del camputer infetto il worm controlla tutti i file presenti sullo hard disk ad eccezione di quelli con le seguenti estensioni :

bmp
jpg
gif
exe
dll
avi
mpg
mp3
vxd
ocx
psd
tif
zip
rar
pdf
cab
wav
com

Gli indirizzi vengono salvati nel file EML.TMP creato nella directory di Windows.

Mimail.C tenta di connettersi direttamente al server SMTP del destinatario utilizzando il server DNS dell'utente infetto per ottenere le informazioni.

Payload

Il worm tenta di lanciare un attacco di tipo DoS (Denial of Service) verso i seguenti siti:

darkprofits.com
darkprofits.net
www.darkprofits.com
www.darkprofits.net

Inoltre il worm controlla le finestre di windows attive e se esse appartengono a certe applicazioni Mimail.C raccogli le informazioni e le salva in C:\TMPE.TMP . Questo file viene inviato a indirizzi email contenuti all'interno del body del worm

Altre Varianti

Mimail: http://www.f-secure.com/v-descs/mimail.shtml

Mimail.D: http://www.europe.f-secure.com/v-descs/mimail_d.shtml

Mimail.E: http://www.europe.f-secure.com/v-descs/mimail_e.shtml

Mimail.F: http://www.europe.f-secure.com/v-descs/mimail_f.shtml

Mimail.G: http://www.europe.f-secure.com/v-descs/mimail_g.shtml

Mimail.H: http://www.europe.f-secure.com/v-descs/mimail_h.shtml

Rilevazione

F-Secure Anti-Virus è in grado di rilevare il worm con gli aggiornamenti pubblicati il 31 Ottobre 2003:

[FSAV_Database_Version] Version=2003-10-31_01

Dettagli tecnici: Katrin Tocheva, 31 Ottobre 2003

F-Secure Corporation