Mimail.I - Description Technique et Désinfection

W32/Mimail-I est un ver qui se propage via e-mail à l'aide d'adresses recueillies sur le disque dur de votre ordinateur. Toutes les adresses e-mail trouvées sur votre PC sont enregistrées dans un fichier appelé el388.tmp dans le dossier Windows.

Pour s'exécuter automatiquement au démarrage de Windows, le ver se copie dans le fichier svchost32.exe présent dans le dossier Windows et ajoute dans le registre l'entrée suivante :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SvcHost32

Si vous exécutez le ver, une boîte de dialogue apparaît vous demandant de saisir une série d'informations sur votre carte de crédit, y compris le numéro complet de la carte, le code PIN, la date d'expiration et même le soit-disant code CVV (il s'agit d'un code de sécurité à trois chiffres imprimé au dos de la carte qui n'est pas enregistré par les machines de carte de crédit au cours des transactions). La boîte de dialogue inclut un logo PayPal afin de paraître encore plus légitime. Les informations saisies dans la formulaire sont envoyées par e-mail.


Alias : w32.mimail.h@mm (Symantec)
          I-Worm.Mimail.i (Kaspersky)
          W32/Mimail.I@MM (Mc Afee)
          W32/Mimail-I (Sophos)
          WORM_MIMAIL.I (Trend Micro)


Sujet: YOUR PAYPAL.COM ACCOUNT EXPIRES
Fichier Attaché : paypal.asp.scr ou www.paypal.com.scr
Message:

Dear PayPal member,
PayPal would like to inform you about some important information regarding your PayPal account. This account, which is associated with the email address


will be expiring within five business days. We apologize for any inconvenience that this may cause, but this is occurring because all of our customers are required to update their account settings with their personal information.
We are taking these actions because we are implementing a new security policy on our website to insure everyone's absolute privacy. To avoid any interruption in PayPal services then you will need to run the application that we have sent with this email (see attachment) and follow the instructions. Please do not send your personal information through email, as it will not be as secure.
IMPORTANT! If you do not update your information with our secure application within the next five business days then we will be forced to deactivate your account and you will not be able to use your PayPal account any longer. It is strongly recommended that you take a few minutes out of your busy day and complete this now.
DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This mail is sent by an automated message system and the reply will not be received.
Thank you for using PayPal.

 

Source : K-OTik / Symantec / Sophos
     
 

 F-VNS Security™  Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories  Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits