Network Security Distributor
 
   
 SYMBOLIC
 Antivirus Security Division
 
 18 Novembre 2003
 
 NOME: Mimail.J
 DIMENSIONE: 13856 bytes

Descrizione Breve

Mimail.J e' un worm della posta elettronica che simula una email dal servizio di pagamenti on-line Paypal e cerca di sottrarre le informazioni sulla carta di credito dell'utente. Arriva in un messaggio con soggetto "IMPORTANT" e un allegato denominato www.paypal.com.pif

Descrizione Dettagliata

Mimail.J e' stato osservato la prima volta il 17 novembre 2003. Come Mimail.I, e' compresso con una versione non-modificata di UPX ed e' una variante ricompilata del suo predecessore, con cambiamenti minimi nel codice. Arriva in una mail simile a questa:

From: "PayPal.com" donotreply@paypal.com
Subject: IMPORTANT
Attachment: www.paypal.com.pif

Dear PayPal member,

We regret to inform you that your account is about to be expired in next five business days. To avoid suspension of your account you have to reactivate it by providing us with your personal information.

To update your personal profile and continue using PayPal services you have to run the attached application to this email. Just run it and follow the instructions.

IMPORTANT! If you ignore this alert, your account will be suspended in next five business days and you will not be able to use PayPal anymore.

Thank you for using PayPal.

E' da notare che il messaggio con soggetto "Problems with your PayPal account" e l'allegato "InfoUpdate.exe" e' stato messo in circolazione dall'autore di Mimail. Il worm non utilizza pero' questo soggetto e allegato quando si diffonde da un computer infetto.


Il metodo di raccolta degli indirizzi e' lo stesso della variante precedente, cosi' come la routine di propagazione.

Disinfezione

La disinfezione manuale di un computer infetto da Mimail J consiste in:

    1- Rimozione del valore
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SvcHost32]
    dal registro di configurazione
    2- Riavvio del computer
    3- Cancellazione di '%WinDir%\svchost32.exe' (dove %WinDir% è la directory di Windows, tipicamente c:\windows\ o c:\winnt)
Effetti

Come Mimail.i, il worm visualizza un finto modulo di Paypal, simile al sito web originale. In questo modo, il worm cerca di indurre l'utente a inserire le informazioni sulla carta di credito, che verranno poi spedite ad alcuni indirizzi di e-mail

Rilevazione

F-Secure Anti-Virus è in grado di rilevare il worm con gli aggiornamenti pubblicati il 18 Novembre 2003:

[FSAV_Database_Version] Version=2003-11-18_01

Dettagli tecnici: Gergely Erdelyi e Ero Carrera, 17 Novembre 2003

F-Secure Corporation

  Contatti | Dove Siamo | Trademark