Lions-Stammtisch » W32.Mimail.C@mm und W32.Mimail.D@mm

Name: W32.Mimail.C@mm
Alias:
WORM_MIMAIL.C [Trend],
W32/Mimail.c@MM [McAfee],
Win32.Mimail.C [CA],
W32/Mimail-C [Sophos]

Art:
Wurm

Größe des Anhangs: 12.832 (UPX gepackt); 12.958 bytes (zip-File)
Betriebssystem:
Microsoft Windows

Art der Verbreitung: Massenmailing
Verbreitung:
mittel
Risiko:
mittel

Schadensfunktion:
Massenmailing, Denial of Service, Datendiebstahl

Spezielle Entfernung: Tool
bekannt seit: 31. Oktober 2003

Beschreibung:

W32.Mimail.C@mm ist eine Variante des W32.Mimail.A@mm-Wurms und wie das Original ein Internet-Wurm, der sich mit einer eigenen SMTP-Maschine über E-Mails verbreitet. Er sammelt Informationen und versendet diese via E-Mail. Außerdem wird versucht ein Denial of Service zu generieren.

Eine infizierte E-Mail hat folgende Charakteristik:

Von:
james@<lokale Domäne>

Die lokale Domäne wird versucht aus lokalen DNS-Dateien zu bestimmen.

Betreff:
Re[2]: our private photos [zufällige Buchstabenkombinationen]

Nachrichtentext:
Hello Dear!,
Finally i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're without ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)
Right now enjoy the photos.
Kiss, James.
[die gleiche zufällige Buchstabenkombination wie im Betreff]

Anhang:
photos.zip

Bei der Infektion des Systems kopiert sich der Wurm unter dem Namen netwatch.exe in das Windows-Verzeichnis (Standard-Einstellung: Windows 95/98/Me/XP: C:\Windows; Windows NT/2000: C:\Winnt). Durch einen Eintrag in der Registrierung wird dafür gesorgt, dass bei jedem Neustart des Rechners der Wurm mitgestartet wird. Zusätzlich werden zwei weitere Dateien im Windows-Verzeichnis abgelegt:

zip.tmp: (12.958 bytes)
exe.tmp: (12.832 bytes)

Es werden in verschiedenen Dateien des Rechners E-Mail-Adressen gesammelt und in der Datei eml.tmp im Windows-Verzeichnis gespeichert. Der Wurm versucht sich an die gefundenen Adressen selbst zu versenden..

Als weitere Schadensfunktion wird auf dem Rechner gefundene Textstücke per E-Mail versendet.

Zuletzt wird versucht, Daten an eine der folgenden Internetadressen zu versenden und somit auf diese Adressen einen Denial of Service-Angriff zu starten.

darkprofit.net
http://www.darkprofits.net
darkprofitzs.com
http://www.darkprofits.com

Entfernungs-Programm
Von Symantec wird ein spezielles Entfernungs-Programm für W32.Mimail.C@mm und die anderen Varianten zum kostenlosen Download bereitgestellt.

Generelle Hinweise:

Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, daß die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.

(Erstellt: 03.11.2003)

------------------------------------------------------
@CereMONIYa tyebya lyublyu