Другие версии: .a, .c, .d, .e, .f, .g, .h, .i, .j, .m, .p, .q

Другие названия

Email-Worm.Win32.Mimail.l («Лаборатория Касперского») также известен как: I-Worm.Mimail.l («Лаборатория Касперского»), W32/Mimail.l@MM (McAfee), W32.Mimail.L@mm (Symantec), Win32.HLLM.Foo (Doctor Web), W32/Mimail-L (Sophos), Win32/Mimail.I@mm (RAV), WORM_MIMAIL.L (Trend Micro), Worm/Mimail.L.2 (H+BEDV), W32/Mimail.L@mm (FRISK), Win32:MiMail-L (ALWIL), I-Worm/Mimail.L (Grisoft), Win32.Mimail.L@mm (SOFTWIN), Worm.Mimail.L (ClamAV), W32/Mimail.L.worm (Panda), Win32/Mimail.L (Eset).

Поведение

Email-Worm, почтовый червь.

Технические детали

Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Является приложением Windows (PE EXE-файл). Имеет размер 11296 байт. Упакован UPX, распакованный размер — около 480 КБ.

Инсталляция

При запуске червь копирует свой исполняемый файл в корневой каталог Windows под следующими именами:

%WinDir%/svchost.exe
%WinDir%/x8wui12s.tmp
%WinDir%/xu39reu.tmp
%WinDir%/xu298da.tmp

Для автоматического запуска при каждом последующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLMSOFTWARE/Microsoft/Windows/CurrentVersion/Run] "France" = "%WinDir%/svchost.exe"

Распространение по электронной почте

Для поиска адресов жертв червь сканирует адресные книги MS Windows. Также червь производит поиск адресов электронной почты в файлах, находящихся в папках, на которые указывают значения параметров в ключе реестра:

[HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders]

Поиск производится во всех файлах за исключением тех, которые имеют следующие расширения:

сom, wav, cab, pdf, rar, zip, tif, psd, ocx, vxd, mp3, mpg, avi, dll, exe, gif, jpg, bmp

При рассылке зараженных писем червь использует собственную SMTP-библиотеку.

Характеристики зараженных писем

Имя отправителя

Wendy

Тема письма

Текст письма

Выбирается из двух вариантов:

Good afternoon,
We are going to bill your credit card for amount of $22.95 on a weekly basis. Free pack of child porn CDs is already on the way to your
billing address. If you want to cancel membership and your CD pack please email order and credit card
details to security@europe.spamhaus.org
Are you ready for all types of underage porn?
We have the best selection for every taste!
Just click the secret links below and have fun:
http://www.*****us.org
<текст пропущен>
Nude boys under 16!
Nude girls under 16!
Incest, a daddy & a daughter!
We have everything you have ever dreamed for!

Hi Greg its Wendy.
I was shocked, when I found out that it wasn`t you but
your twin brother!!! That`s amazing, you`re as like as two peas. No
one in bed is better than you Greg. I remember, I remember everything
very well, that promised you to tell how it was, I`ll
give you a call today after 9.
<текст пропущен>
I`m so thankful to you, for acquainted me to your brother. I think we can do it on
the next Saturday all three together? What do you think? O yes,
as you wanted I`ve made a few pictures check them out in
archive, I hope they will excite you, and you will dream
of our new meeting...Wendy.

Имя файла-вложения

wendy.zip

Вложение является архивом, содержащим запакованный файл с именем:

for_greg_with_love.jpg.exe

Деструктивная активность

Червь производит DoS-атаку на следующие сайты:

http://www.spamhaus.org
http://www.spews.org
http://www.register.com
http://www.cardcops.com
http://www.carderplanet.net
http://www.spamcop.net
http://disney.go.com
http://www.authorizenet.com

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. При помощи «Диспетчера задач» завершить процесс червя.
2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить все зараженные письма из всех почтовых папок.
4. Удалить значение ключа системного реестра:

[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"France" = "%WinDir%/svchost.exe"

5. Удалить файлы:

%WinDir%/svchost.exe
%WinDir%/x8wui12s.tmp
%WinDir%/xu39reu.tmp
%WinDir%/xu298da.tmp

6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: viruslist.com.

перейти в архив