W32.Mimail.D@mm

Virus-Warnung  -  Virus-Beschreibung

Beschreibung:

W32.Mimail@mm ist ein Internet-Wurm, der sich mit einer eigenen SMTP-Maschine über E-Mails verbreitet. Er sammelt Informationen und versendet diese an bestimmte E-Mail-Adressen.

Bei der Verbreitung nutzt W32.Mimail@mm bekannte Schwächen des Microsoft Internet Explorers und von Microsoft Outlook Express . Folgende (nicht gepatchte) Versionen sind angreifbar:

Microsoft Outlook Express 5.5
Microsoft Outlook Express 6.0
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6.0

Die infizierte E-Mail hat folgende Charakteristik:

Von:
admin@<lokale Domäne>

Betreff:
your account <weitere zufällige Zeichen>

Nachrichtentext:
Hello there,

I would like to inform you about important information regarding your
email address. This email address will be expiring.
Please read attachment for details.

---
Best regards, Administrator
dcrdefae

Anhang:
message.zip

Die E-Mail wird mit der Wichtigkeit "Hoch" versendet.

Bei der Infektion des Systems kopiert sich der Wurm unter dem Namen Videodrv.exe in das Windows-Verzeichnis.

Mit dem Registrierungsschlüssel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

und dem Wert

"VideoDriver"="%Windir%\videodrv.exe"

wird W32.Mimail@mm bei jedem Systemstart aktiviert.

E-Mail-Adressen zur Verbreitung sucht der Wurm nicht in Dateien mit der Endung:

.COM .WAV .CAB
.PDF .RAR .ZIP
.TIF .PSD .OCX
.VXD .MP3 .MPG
.AVI .DLL .EXE
.GIF .JPG .BMP

Gefundene Adressen speichert W32.Mimail@mm in der Datei eml.tmp die sich auch im Windows-Verzeichnis befindet.
Nach der Infektion des Rechners existieren zwei weitere Dateien im Windows-Verzeichnis:

zip.tmp: (30,079 bytes)
exe.tmp: (29,957 bytes)

Entfernungs-Programm
Von Symantec wird ein spezielles Entfernungs-Programm für W32.Mimail@mm zum kostenlosen Download bereitgestellt.

Quelle:
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn