WORM_MIMAIL.C es un gusano de rápida propagación que incita a
los receptores del mensaje a abrirlo utilizando como tema el sexo.
Tras la recepción de varios informes de infecciones, TrendLabs
Europa, los laboratorios de virus de Trend Micro de Europa, han declarado la
alerta amarilla (o de grado medio) para este gusano de alto riesgo. Este gusano
de Internet residente en memoria se propaga a través del correo electrónico
utilizando su propio motor SMTP (Simple Mail Transfer Protocol),
por lo que no requiere utilizar ninguna aplicación de correo electrónico en el
sistema infectado.
Las direcciones de los destinatarios las obtiene de diversos
archivos guardados en la computadora contaminada; con esto, incrementa el
tráfico de mensajes y corre el riesgo de entorpecer el funcionamiento normal de
los servidores de
correo.
Grado de riesgo total: Medio
Potencial de daño: Alto
Potencial de distribución: Alto
Fichero de firmas de Trend Micro: 667
El mensaje que se recibe tiene el siguiente aspecto:
Para: admin@???
Asunto: Re[2]: our private photos ???
Cuerpo del Mensaje:
Hello Dear!,
Finally i've found possibility to right u, my lovely girl :) All our photos
which i've made at the beach (even when u're without ur bh:)) photos are great!
This evening i'll come and we'll make the best SEX :)
Right now enjoy the photos.
Kiss, James.
??? (Note: ??? is a variable string)
Archivo Adjunto: "photos.zip"
El archivo adjunto tiene el formato de un archivo comprimido .ZIP, que porta
dos archivos:
o Un archivo HTML
o Un archivo ejecutable comprimido .EXE
Al abrir el archivo de hipertexto (HTML) el gusano aprovecha una vulnerabilidad
del Explorador de Internet de Microsoft y ejecuta el archivo .EXE, que es el
portador del código maligno.
Cuando se activa en un ordenador, deposita una copia de sí mismo en la carpeta
de Windows, con el nombre NETWATCH.EXE. Para permanecer residente en memoria y
ejecutarse en cada inicio del sistema, crea la siguiente entrada en el
registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
"NetWatch32"="%Windows%\Netwatch.exe"
Luego, crea los siguientes archivos en el directorio de Windows:
* EML.TMP - Contiene la lista de direcciones recabadas en el sistema
infectado, hacia donde se enviarán los mensajes nuevos.
* ZIP.TMP - Es el archivo .ZIP que el gusano envía como archivo adjunto en los
mensajes infectados.
* EXE.TMP - Es el archivo .EXE con compresión UPX, que contiene el código
malicioso.
Trend Micro ha expedido las actualizaciones correspondientes para detectar y
evitar infecciones de MIMAIL.C y conmina a sus clientes a actualizar de
inmediato sus sistemas.
|