W32.Mimail.J@mm est un ver d'envoi en masse de courrier qui tente de dérober des informations personnelles. Le ver affiche une série de formulaires invitant l'utilisateur à saisir les détails de sa carte de crédit. (Voir les copies d'écrans dans la section Détails techniques.) Ces informations sont enregistrées puis transférées par la suite à certaines adresses électroniques.
Ce ver est similaire à W32.Mimail.I@mm.

Alias : W32/Mimail.j@MM [McAfee], WORM_MIMAIL.J [Trend], Win32.Mimail.J [CA],
          W32/Mimail-J [Sophos], I-Worm.Mimail.j [Kaspersky]

Le courrier électronique présente les caractéristiques suivantes :
De :
Objet : IMPORTANT  
Pièce jointe : InfoUpdate.exe -ou- www.paypal.com.pif


Antivirus Gratuit en Ligne : K-OTik Antivirus
Outil de Suppression : FixMimail.J


Lorsque W32.Mimail.J@mm s'exécute, il agit ainsi :

Il se copie comme %Windir%\svchost32.exe et %Windir%\ee98af.tmp.
 Il ajoute la valeur :

"SvcHost32"="%Windir%\svchost32.exe"

à la clé de registre :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

de façon à ce que le ver s'exécute lorsque vous démarrez Windows.
 Il affiche le fichier .hta, illustré ici :

Un second fichier .hta apparaît, une fois que le formulaire a été renseigné et que l'utilisateur a cliqué sur le bouton Suivant :

Source : K-OTik / Symantec