Mientras se produce la epidemia mundial que está
protagonizando Mydoom.A, PandaLabs ha detectado la aparición de la variante S
del gusano Mimail (W32/Mimail.S.worm), muy semejante a sus antecesoras. "La
coincidencia de los citados códigos maliciosos", afirma Luis Corrons "hace más
necesario que nunca no bajar la guardia, y extremar las precauciones con el
correo electrónico que se reciba".
Mimail.S se envía por correo electrónico a todas las direcciones que encuentra
en el equipo al que afecta -utilizando para ello su propio motor de SMTP-, en un
e-mail que tiene las siguientes características:
- Asunto: puede combinar aleatoriamente varios de estos textos: Re: ,Re[2]:
,Re[3]:/ smart,cool,sexy,super/ pics,images,pictures,photos,photo,picture/
private, only for you, just for you, imortant, very important
- Cuerpo: está construido de forma similar al asunto, con cadenas de texto como:
Hi,Hello,Good evening/ my dear, my dearest, my darling/ Adeline, Alice, Ann,
Annice, Barbara, etc.
- Fichero adjunto: está codificado en BASE64, y contiene 4 partes:
my,priv,private,prv,the,best,super,great,cool,wild,sex,fuck
_,-,__
pic,img,phot,photos,pctrs,images,imgs,scene,plp,act,action
.pif,.scr,.exe,.jpg.scr,.jpg.pif,.jpg.exe,.gif.exe,.gif.pif,.gif
Mimail.S intenta robar los datos de tarjetas de crédito de los usuarios cuyos
ordenadores afecta. Para conseguirlo, muestra un formulario avisando que la
licencia de uso de Windows ha caducado, por lo que pide al usuario que proceda a
introducir el número de su tarjeta de crédito, la fecha de caducidad de la misma
y el PIN.
Una vez que el usuario ha introducido los datos solicitados, Mimail.S comprueba
si el número de la tarjeta de crédito es correcto y, si no lo es, muestra un
mensaje de error:
Mimail.S guarda la información que obtiene en el fichero c:\xx y la envía a
varias direcciones de correo, que contiene dentro de su código y cuyos dominios
son [email protected] y [email protected] .
Finalmente, Mimail.S crea una entrada en el registro de Windows con el objetivo
de asegurar su ejecución cada vez que se reinicie el equipo.
Ante la posibilidad de un encuentro con Mimail.S, Mydoom.A y Mydoom.B, Panda
Software aconseja extremar las precauciones con los mensajes de correo
electrónico recibidos, así como actualizar lo antes posible las soluciones
antivirus.
|