W32.Mimail.D@mm

Virus-Warnung  -  Virus-Beschreibung

Beschreibung:

W32.Mimail.D@mm ist eine Variante des W32.Mimail.A@mm- und des W32.Mimail.C@mm-Wurms und wie diese beiden ein Internet-Wurm, der sich mit einer eigenen SMTP-Maschine über E-Mails verbreitet. Es wird versucht ein Denial of Service zu generieren.

Eine infizierte E-Mail hat folgende Charakteristik:

Von:
john@<lokale Domäne>

Die lokale Domäne wird aus lokalen DNS-Dateien extrahiert.

Betreff:
don't be late![zufällige Buchstabenkombinationen]

Nachrichtentext:
Hello Dear!,

Will meet tonight as we agreed, because on Wednesday I don't think I'll make it,
so don't be late. And yes, by the way here is the file you asked for.
It's all written there. See you.

[die gleiche zufällige Buchstabenkombination wie im Betreff]

Anhang:
readnow.zip

Bei der Infektion des Systems kopiert sich der Wurm unter dem Namen cnfrm.exe oder cnfrm33.exe in das Windows-Verzeichnis (Standard-Einstellung: Windows 95/98/Me/XP: C:\Windows; Windows NT/2000: C:\Winnt). Durch einen Eintrag in der Registrierung wird dafür gesorgt, dass bei jedem Neustart des Rechners der Wurm mitgestartet wird. Zusätzlich werden zwei weitere Dateien im Windows-Verzeichnis abgelegt:

zip.tmp: (10.912 bytes)
exe.tmp: (10.784 bytes)

Es werden in verschiedenen Dateien des Rechners E-Mail-Adressen gesammelt und in der Datei eml.tmp im Windows-Verzeichnis gespeichert. Der Wurm versucht, sich an die gefundenen Adressen selbst zu versenden..

Zuletzt wird versucht, Daten an eine der folgenden Internetadressen zu versenden und somit auf diese Adressen einen Denial of Service-Angriff zu starten.

• fethard.biz
• www.fethard.biz
• spamhaus.org
• www.spamhaus.org
• spews.org
• www.spews.org
• spamcop.net
• www.spamcop.net

Entfernungs-Programm
Von Symantec wird ein spezielles Entfernungs-Programm für W32.Mimail.D@mm und die anderen Varianten zum kostenlosen Download bereitgestellt.

Quelle:
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn