Latest Threats 17/11/03 - W32.Mimail.J@mm

Συζητήσεις και νέα σχετικά με την ασφάλεια των υπολογιστών και των virus που τους προσβάλουν...

Συντονιστές: Super-Moderators, Software & Hardware Moderators

Απάντηση
Άβαταρ μέλους
Expl0it
Honorary Member
Δημοσιεύσεις: 2364
Εγγραφή: 25 Αύγ 2003 23:24
Τοποθεσία: home/sweet/home

Latest Threats 17/11/03 - W32.Mimail.J@mm

Δημοσίευση από Expl0it » 23 Νοέμ 2003 17:41

W32.Mimail.J@mm

* Σημείωση : Οι πληροφορίες που δίνονται για τον καθαρισμό του ιού απο τον υπολογιστή σας,
είναι για προγράμματα αντιμετώπισης ιών της SYMANTEC


Ο W32.Mimail.J@mm είναι ένας mass mailing ιός που προσπαθεί να κλέψει τις προσωπικές πληροφορίες. Αυτό το worm παρουσιάζει μια σειρά φορμών που ζητούν από τους χρήστες για να εισαγάγουν τις πληροφορίες πιστωτικών καρτών τους. (Βλ. φώτο 1.) Αυτές οι πληροφορίες σώζονται και στέλνονται με email αργότερα σε διάφορες προκαθορισμένες διευθύνσεις.

Αυτό το worm είναι παρόμοιο με το W32.Mimail.I@mm.

To email έχει τα παρακάτω χαρακτηριστικά :

From: Do_Not_Reply@paypal.com
Subject: IMPORTANT <random string of characters>
Attachment: InfoUpdate.exe -or-
www.paypal.com.pif


Επίσης γνωστός ως : W32/Mimail.j@MM [McAfee], WORM_MIMAIL.J [Trend], Win32.Mimail.J [Computer Associates], W32/Mimail-J [Sophos], I-Worm.Mimail.j [Kaspersky]

Παραλλαγές : W32.Mimail.I@mm

Είδος : Worm

Λειτουργικά Συστήματα που έχουν μολυνθεί :Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

Λειτουργικά Συστήματα που δεν έχουν μολυνθεί : DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x

ΤΕΧΝΙΚΕΣ ΛΕΠΤΟΜΕΡΙΕΣ

1. Αντιγράφεται ώς %Windir%\svchost32.exe και %Windir%\ee98af.tmp.

2. Προσθέτει την τιμή :

"SvcHost32"="%Windir%\svchost32.exe"

Στο Registry Key :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Έτσι ώστε το worm να τρέχει κάθε φορά που ξεκινάνε τα Windows.

3. Εμφανίζει το παρακάτω .hta αρχείο

Εικόνα
Φώτο 1

4. Αφούσυμπληρώσετε την πρότη φόρμα και πατήσετε NEXT εμφανίζεται μια δεύτερη φόρμα.

Εικόνα
Φώτο 2

5. Σώνει τις πληροφορίες στο αρχείο C:\ppinfo.sys και ανοίγει ένα τρίτο παράθυρο

Εικόνα
Φώτο 3

6. Ελέγχει για το αρχείο ppinfo.sys το οποίο δίχνει ότι η ψεύτικη φόρμα του PayPal έχει συμπληρωθεί

7. Ψάχνει για κάποια ενεργή σύνδεση με το διαδίκτυο προσπαθώντας να συνδεθεί με το www.akamai.com. Έαν βρεί κάποια σύνδεση προσπαθεί να στείλει τις πληροφορίες που υπάρχουν στο ppinfo.sys σε μια ομάδα προκαθορισμένων διευθύνσεων email.

8. Ψάχνει στα αποθηκευμένα δεδομένα διαδικτύου για διευθύνσεις εκτός απο αυτές με τις παρακάτω προεκτάσεις :

com
.wav
.cab
.pdf
.rar
.zip
.tif
.psd
.ocx
.vxd
.mp3
.mpg
.avi
.dll
.exe
.gi
.jpg
.bmp

9. Σώζει όλες τις διευθύνσεις που βρίσκει στο αρχείο %Windir%\el388.tmp

10. Συνδέετε με τον κεντρικό υπολογιστή SMTP του παραλήπτη ηλεκτρονικού ταχυδρομείου και στέλνει ένα email σε όλες τις δευθύνσεις που υπάρχουν στο αρχείο el388.tmp

11.Το email έχει τα παρακάτω χαρακτηριστικά :

From: Do_Not_Reply@paypal.com
Subject: IMPORTANT
Message:
Dear PayPal member,

We regret to inform you that your account is about to be expired in next five business days. To avoid suspension of your account you have to reactivate it by providing us with your personal information.
To update your personal profile and continue using PayPal services you have to run the attached application to this email. Just run it and follow the instructions.
IMPORTANT! If you ignore this alert, your account will be suspended in next five business days and you will not be able to use PayPal anymore.
Thank you for using PayPal.

Attachment: www.paypal.com.pif -or-
InfoUpdate.exe



ΟΔΗΓΙΕΣ ΚΑΘΑΡΙΣΜΟΥ ΤΟΥ W32.Mimail.J@mm ΑΠΟ ΤΟΝ ΥΠΟΛΟΓΙΣΤΗ ΣΑΣ

Η SYMANTEC δημιούργησε ένα Removal Τοol που είναι και ο ποιό εύκολος τρόπος για την αντιμετώπιση του W32.Mimail.J@mm

To Removal Tool για τον W32.Mimail.J@mm μπορείτε να το βρείτε εδώ

Για περισσότερες πληροφορίες σχετικά με τον W32.Logitall.A@mm πατήστε ΕΔΩ

Filter

Απάντηση

Επιστροφή στο “Security, antiVirus & antiSpyWare”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 1 επισκέπτης