W32/Mimail@MM
Adatlap
- Felfedezés időpontja: 2003.08.01
- Eredet: Oroszország
- Hossz: 16815 bájt
- Típus: vírus
- Altípus: programféreg
- Adatbázis-verzió: 4282
- Keresőmotor-verzió: 4.1.60
Előfordulás valószínűsége
- Vállalati környezet: Közepes
- Egyéni felhasználók: Közepes
Tulajdonságok
A 4192-es és újabb adatbázisok és a 4.1.60-as keresőmotor bizonyos feltételek mellett Exploit-Codebase néven felismerik a vírust.
Ez a program üzenetszerkezetében hasonlóságot mutat a néhány nappal ezelőtt elterjesztett Downloader-DK-val, és ahhoz hasonlóan a Mimail is érkezhet nemkívánatos (spam) üzenet formájában. A vírust hordozó levél felépítése:
Feladó: Admin (ADMIN@domainnév)
Tárgy: your account %felhasználónév%
Fontosság: Magas
Üzenettörzs:
Hello there,
I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.
--- Best regards, Administrator
Csatolt állomány: message.zip
A csatolt .ZIP egy MESSAGE.HTM nevű weblapot tartalmaz. Ez a fájl két biztonsági hiányosságot kihasználva (MS02-015, MS03-014) létrehozza a foo.exe fájlt a Temporary Internet Files alkönyvtárban, majd lefuttatja.
Megjegyzés: A MS03-014 javítócsomag telepítésével megakadályozható az állomány MESSAGE.HTM elérésekor történő automatikus futtatása.
A WINDOWS (%WinDir%) könytárban az alábbi állományok jelennek meg:
- videodrv.exe (19,824 bájt)
- exe.tmp (20,445 bájt)
- zip.tmp (20,567 bájt)
A vírus az alábbi registry-bejegyzés hatására minden rendszer-indításkor betöltődik:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "VideoDriver" = C:\WINNT\videodrv.exe
A vírus a google.com elérésével ellenőrzi, hogy a számítógép csatlakozik-e az Internetre. Amennyiben igen, összegyűjti az e-mail címeket az összes lehetséges forrásból, kivéve az alábbi kitejesztéssel rendelkező fájlokat:
- avi
- bmp
- cab
- com
- dll
- exe
- gif
- jpg
- mp3
- mpg
- ocx
- psd
- rar
- tif
- vxd
- wav
- zip
Az email címeket a Windows könyvtár eml.tmp állományában tárolja, emellett egy registry-kulcs is készül:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Code Store Database\Distribution Units\
{11111111-1111-1111-1111-111111111111}
Tünetek
Az alábbi fájlok jelenléte a WINDOWS könyvtárban:
- videodrv.exe
- eml.tmp
- exe.tmp
- zip.tmp
A fertőzés menete
A programféreg terjedése az akár több ezer e-mail címre történő spammeléssel történik. Lefuttatásakor a helyi számítógépen talált címekre küldi tovább magát. A levelezőrutin megpróbálja a begyűjtött e-mail címekhez tartozó levelezőszervert lekérdezni, az üzenetek továbbítása ezután már azon a levelezőszerveren keresztül történik. A víruskódban hivatkozás található a 212.5.86.163 IP-címre, illetve a list.ru domain-névre.
Eltávolítási utasítások
Használja a 4282-es adatbázisokat. A megfelelő kersőmotorral végzett sikeres tisztítás esetén a registry is újra eredeti állapotába kerül. A vírus megjelenése miatt a Stinger segédprogramnak is újabb verziója jelent meg. A Stinger letöltése >>>
A vírus az MS02-015 és MS03-014 azonosítójúő sebezhetőségeket használja ki. Ellenőrizze számítógépe védettségét.
Kézi eltávolítás
1. Win9x/ME - Indítsa újra a számítógépet Csökkentett módban (Safe Mode)
2. WinNT/2K/XP - Állítsa le a videodrv.exe folyamatot
3. Törölje a következő fájlokat a WINDOWS könyvtárból (általában c:\windows vagy c:\winnt)
- videodrv.exe
- eml.tmp
- exe.tmp
- zip.tmp
4. A rendszerleíró adatbázisban:
- Törölje a "VideoDriver" értéket a következő útvonalakról:
- "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run"- "HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run"
- Törölje a "{11111111-1111-1111-1111-111111111111}" kulcsot a következő útvonalról:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units"
5. Indítsa újra a rendszert
Egyéb elnevezések
- Mimail (F-Secure)
- W32.Mimail.A@mm (Symantec)
- WORM_MIMAIL.A (Trend)