Kezdolap  
 
   


W32/Mimail.c@MM

Adatlap

Felfedezés időpontja: 2003.10.31
Eredet: Ismeretlen
Hossz: 12832 (UPX), 12958 (ZIP)
Típus: vírus
Altípus: programféreg
Adatbázis-verzió: 4301
Keresőmotor-verzió: 4.1.60

Előfordulás valószínűsége

Vállalati környezet: Közepes
Egyéni felhasználók: Közepes

Tulajdonságok

A vírus elsősorban tömeges levelezéssel, spam-ként terjed. Az üzenethez csatolt undelivered.hta nevű állomány (amely a 4.2.50-es, vagy újabb adatbázisokkal mint Downloader-BO.dr ismerhető fel) készíti a c: meghajtó gyökérkényvtárába az mware.exe nevű fájlt. Ez a futtatható állomány a W32/Mimail.c@MM programféreg. A .hta fájl futtatásakor a következő üzenet jelenik meg:

Your message will be sent again in 1 hour. If it doesn't arrive - we will delete it from queue.

Másodlagos terjedési módja szintén a tömeges levelezés. .ZIP fájlban terjed, szolgáltatás-megtagadás jellegű támadási és kémprogram képességekkel rendelkezik. Az eredeti, W32/Mimail@MM vírushoz sokban hasonlít, viszont elődjével ellentétben nem használja ki az MS02-015 és MS03-014 jelű biztonsági hiányosságokat.

Főbb tulajdonságai a következők:

  • Saját SMTP-rutint használ a terjedéshez
  • ZIP mellékletként továbbítja magát
  • A megfertőzött számítógépről gyűjti a cél e-mail címeket
  • Nagy mennyiségű, értelmetlen adatot küld egy távoli szervernek (DoS támadás)
  • Az összegyűjtött információkat négy e-mail címre továbbítja.

A tömörített fájlok ellenőrzése mindig legyen bekapcsolva a megfelelő felismerési arány érdekében!

Terjedés e-mailen

A cél-címek megfertőzött számítógépről kerülnek összegyűjtésre. A programféreg a következő kiterjesztésű fájlokban nem keres címeket:

AVI, BMP, CAB, COM, DLL, EXE, GIF, JPG, MP3, MPG, OCX, PDF, PSD, RAR, TIF, VXD, WAV, ZIP

Az összegyűjtött címek az EML.TMP fájlban találhatók a Windows könyvtárban. A tesztek szerint a vírus nem eléggé pontos az e-mail címek felismerésében, ezért az elküldött üzenetek egy része a rossz címzés miatt nem ér célba.

A kimenő üzeneteket a programféreg saját SMTP-motorjával küldi el. A levelek a következőképp ismerhetők fel:

Tárgy: Re[2]: our private photos (ezután néhány véletlenszerű karakter)

Melléklet: PHOTOS.ZIP (12,958 bájt), ami a PHOTOS.JPG.EXE (12,832 bájt) fájlt tartalmazza

Üzenettörzs:

Hello Dear!,
Finally, i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're withou ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)

Right now enjoy the photos.
Kiss, James.
(ezután néhány véletlenszerű karakter - ugyanaz, mint a tárgy végén)

A levelet a következő fejlécmezők is segíthetik felismerni

X-Mailer: The Bat! (v1.62)
X-Priority: 1 (High)

A levél küldőjének címe a következőképp módosul:

James@(cél mail-domain): james@abc.com, james@xyz.com, stb...

Mint a korábbi verzióknál is megfigyelhető, a levelezőrutin lekérdezi a cél-emailcímhez tartozó levelezőszerver címét, majd azon keresztül küldi a levelet.

Szolgáltatás-megtagadás

A programféreg nagy mennyiségű adattal áraszt el néhány szervert a 80-as porton keresztül, ezenkívül ICMP csomagokat is továbbít a szerverek felé. A www.google.com elérhetőségének ellenőrzése után a következő domaineket támadja:

  • darkprofits.net
  • darkprofits.com
  • www.darkprofits.net
  • www.darkprofits.com

Kémprogram

A következő e-mail címek a vírus kódjában titkosítva szerepelnek, a megszerzett információkat ezekre a címekre küldi a vírus.

  • omnibbb@gmx.net
  • drbz@mail15.com
  • omnibcd@gmx.net
  • kxva@mail15.com

Tünetek

  1. EXE.TMP és ZIP.TMP fájlok jelenléte
  2. Személyi tűzfalak szerint a NETWATCH.EXE alkalmazás megpróbálja elérni az Internetet.
  3. Nagy mennyiségű adatforgalom egy távoli szerver 80-as portjára.

    A fertőzés menete

    A számítógépen futtatva a programféreg telepíti magát a Windows könyvtárba NETWATCH.EXE fájléven.

    Három másik fájl szintén megjelenik a Windows könyvtárban:

    • EML.TMP - az összegyűjtött e-mail címeket tartalmazó fájl
    • EXE.TMP - a programféreg másolata
    • ZIP.TMP - a programféreg ZIP-tömörített példánya

    A programféreg minden rendszerindításkor betöltődik a következő registry kulcs segítségével: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "NetWatch32" = C:\WINNT\NETWATCH.EXE

    A programférget Microsoft Visual C-ban írták. Az AVERT-hez érkezett példányok UPX-szel voltak tömörítve.

    Eltávolítási utasítások

    Minden felhasználónak

    Az aktuális adatbázis és keresőmotor használata javasolt.

    Egyedi eltávolító program

    A McAfee Stinger már tartalmazza a Mimail.c felismerésének képességét.

    Kézi eltávolítási utasítások

    1. Windows 9x/Me: Indítsa újra a rendszert Safe Mode-ban
    2. Windows NT/2000/XP: Állítsa le a NETWATCH.EXE folyamatot
    3. Törölje a következő fájlokat a Windows könyvtárból: NETWATCH.EXE EXE.TMP EML.TMP
    4. Törölje a NetWatch32 értéket a rendszerleíró adatbázis HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run útvonaláról.

    Sniffer felhasználóknak

    A Mimail.c féreg forgalmának azonosítására használható szűrők jelentek meg Sniffer Distributed 4.1/4.2/4.3, Sniffer Portable 4.7/4.7.5, és Netasyst alkalmazások részére.

    W32_Mimail.c@MM Sniffer Filters.zip

    ThreatScan felhasználóknak

    A legutolsó, 2003. 10. 31.-I ThreatScan adatbázissal felismerhető a Mimail.c vírus.

    Egyéb elnevezések

    I-Worm.Mimail.c (AVP)
    I-Worm.WatchNet (AVP)
    W32.Mimail.C@mm (Symantec)
    W32/Bics@MM
    W32/Mimail-C (Sophos)
    WORM_MIMAIL.C (Trend)
  
  A PiK-SYS Kft. által készített dokumentációk és információs anyagok szerzői jogi védelem alatt állnak. (C) PiK-SYS Kft., 2003.