W32.Mimail.A@mm

[amvinfe]

W32.Mimail.A@mm


E’ un worm che si sta propagando rapidamente, viene classificato dalla Sarc con un livello d’attenzione 3 su 5.

Si riceve la mail con priorità alta avente queste caratteristiche:

Da: admin@<dominio del destinataro>
A: <nome/indirizzo del destinatario>
Oggetto: your account (seguito da caratteri casuali)
Allegato: message.zip (19 Kb)


Testo:
Hello there,

I would like to inform you about important information
regarding your email address. This email address will
be expiring. Please read attachment for details.

---
Best regards, Administrator

<caratteri casuali>

All’interno dell’allegato con estensione .zip troviamo il file message.html che se aperto infetta la macchina.
Il file .html contiene al suo interno uno script che esegue un file .exe, compresso in UPX, la prima linea di questo archivio contiene questo testo:

MIME-Version: 1.0
Content-Location:File://foo.exe
Content-Transfer-Encoding: binary


Lo script libera la copia nascosta all’interno dell’archivio (FOO.EXE) sfruttando una vulnerabilità ormai conosciuta in Internet Explorer che permette ad uno script presente in un archivio .html l’accesso agli archivi del disco senza che la macchina mostri alcun messaggio.
Questo il codice:
mhtml:'+path+'\\message.html!File://foo.exe
A questo punto verrà aperta una pagina a sfondo nero e a grandi lettere recante il messaggio
Please wait loading message .....

Qui viene descritta la vulnerabilità (MHTML in Outlook Express) all’interno della pagina è presente anche la patch.
http://support.microsoft.com/default...b;en-us;330994

Aggiunge poi nella directory Windows i seguenti files:
c:\windows\exe.tmp
c:\windows\zip.tmp
c:\windows\eml.tmp
c:\windows\videodrv.exe

Il file exe.tmp è il worm presente nell’archivio .html
Il file zip.tmp è il worm contenuto nell’archivio .zip
Il file eml.tmp è la lista delle mail che il worm ha cercato nella macchina
Il file videodrv.exe è l’eseguibile del worm.
Nota:
La directory varia a seconda del sistema operativo in uso.

Questa la chiave aggiunta dal worm:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
VideoDriver = c:\windows\videodrv.exe
Crea inoltre le seguenti chiavi:
HKEY_CLASSES_ROOT\CLSID
{11111111-1111-1111-1111-111111111111}

HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
{11111111-1111-1111-1111-111111111111}
Per inviarsi cercherà tutti I possibili indirizzi mail all’interno di tutti i files presenti nel disco ad eccezione di quelli aventi le seguenti estensioni:
.avi
.bmp
.cab
.com
.dll
.exe
.gif
.jpg
.mp3
.mpg
.ocx
.pdf
.psd
.rar
.tif
.vxd
.wav
.zip
N.B.
Si allega e si spedisce usando un proprio motore SMTP.
Ha inoltre la capacità di spedire “mail spazzatura” agli indirizzi memorizzati prelevando a caso i testi nelle varie directory , dove l’”Oggetto” sarà sempre - c:\tmpe.tmp -. Il teso contiene come scritto solo “spazzatura”.
Rimozione manuale:
disabilitare il System Restore nei sistemi WinMe e WinXP, riavviare.
Riabilitare il System Restore, riavviare.
Riavviare in modalità provvisoria (F8)
Cercare ed eliminare i files:
c:\windows\exe.tmp
c:\windows\zip.tmp
c:\windows\eml.tmp
c:\windows\videodrv.exe
Svuotare il cestino!
Start>Esegui> =>regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Eliminare dal pannello di dx la voce
VideoDriver

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\
Eliminare la voce
{11111111-1111-1111-1111-111111111111}

HKEY_CLASSES_ROOT\CLSID
eliminare la voce
{11111111-1111-1111-1111-111111111111}

Uscire dal registro.
Per eliminare il worm automaticamente disabilitare il System Resore in WinMe e WinXP, riavviare , riabilitare il System Restore e riavviare in modalità provvisoria ed usare il seguente Fix_tool
http://www.symantec.com/avcenter/FxMimail.exe

Marco(amvinfe)

[Pola]

Grazie.

Ho inserito qui:
http://forum.hwupgrade.it/showthread...50#post1837350

il link al tuo thread.

[amvinfe]

Quote:

Originariamente inviato da Pola
Grazie.

Ho inserito qui:
http://forum.hwupgrade.it/showthread...50#post1837350

il link al tuo thread.

Ok

[robnet77]

ho letto solo ora, grazie mille!