W32.Mimail.C@mm

Virus-Warnung  -  Virus-Beschreibung

 

Name: W32.Mimail.C@mm
Alias: WORM_MIMAIL.C [Trend],
W32/Mimail.c@MM [McAfee],
Win32.Mimail.C [CA],
W32/Mimail-C [Sophos]
Art: Wurm
Größe des Anhangs: 12.832 (UPX gepackt); 12.958 bytes (zip-File)
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Massenmailing, Denial of Service, Datendiebstahl
Spezielle Entfernung: Tool
bekannt seit: 31. Oktober 2003

Beschreibung:

W32.Mimail.C@mm ist eine Variante des W32.Mimail.A@mm-Wurms und wie das Original ein Internet-Wurm, der sich mit einer eigenen SMTP-Maschine über E-Mails verbreitet. Er sammelt Informationen und versendet diese via E-Mail. Außerdem wird versucht ein Denial of Service zu generieren.

Eine infizierte E-Mail hat folgende Charakteristik:

Von:
james@<lokale Domäne>

Die lokale Domäne wird versucht aus lokalen DNS-Dateien zu bestimmen.

Betreff:
Re[2]: our private photos [zufällige Buchstabenkombinationen]

Nachrichtentext:
Hello Dear!,
Finally i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're without ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)
Right now enjoy the photos.
Kiss, James.
[die gleiche zufällige Buchstabenkombination wie im Betreff]

Anhang:
photos.zip

Bei der Infektion des Systems kopiert sich der Wurm unter dem Namen netwatch.exe in das Windows-Verzeichnis (Standard-Einstellung: Windows 95/98/Me/XP: C:\Windows; Windows NT/2000: C:\Winnt). Durch einen Eintrag in der Registrierung wird dafür gesorgt, dass bei jedem Neustart des Rechners der Wurm mitgestartet wird. Zusätzlich werden zwei weitere Dateien im Windows-Verzeichnis abgelegt:

zip.tmp: (12.958 bytes)
exe.tmp: (12.832 bytes)

Es werden in verschiedenen Dateien des Rechners E-Mail-Adressen gesammelt und in der Datei eml.tmp im Windows-Verzeichnis gespeichert. Der Wurm versucht sich an die gefundenen Adressen selbst zu versenden..

Als weitere Schadensfunktion wird auf dem Rechner gefundene Textstücke per E-Mail versendet.

Zuletzt wird versucht, Daten an eine der folgenden Internetadressen zu versenden und somit auf diese Adressen einen Denial of Service-Angriff zu starten.

  • darkprofit.net
  • www.darkprofits.net
  • darkprofitzs.com
  • www.darkprofits.com

Entfernungs-Programm
Von Symantec wird ein spezielles Entfernungs-Programm externer Link für W32.Mimail.C@mm und die anderen Varianten zum kostenlosen Download bereitgestellt.

 





Quelle:

BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn 



 































                  		

 





 





	

	

		

			
			

			
			Zurück blättern

			
			

			
			HOME - Prommersberger EDV-ORGANISATION

			
			

			
			Vorwärts blättern

		

		

			

			

			
			(c) PROKA

			EDV-ORGANISATION

			PROMMERSBERGER

			
			22.11.2011