• Herramienta para quitar el W32/Mimail de un sistema infectado
• Sugerencias para administradores (bloqueo antispam)

Variante de W32/Mimail, que se propaga masivamente por correo electrónico, en un mensaje anunciando la expiración de la cuenta del usuario en Paypal, una conocida plataforma de pago vía Internet. Al ejecutarse el adjunto, el gusano intenta robar la información de la tarjeta de crédito del usuario.

El ejecutable está comprimido con la utilidad UPX, y a diferencia de versiones anteriores del Mimail, no es un archivo .ZIP.

El mensaje enviado por el gusano está marcado como de alta prioridad y posee estas características:

De: PayPal.com [donotreply@paypal.com]
Asunto: YOUR PAYPAL.COM ACCOUNT EXPIRES

Texto:

Dear PayPal member,

PayPal would like to inform you about some important information regarding your PayPal account. This account, which is associated with the email address

<dirección del destinatario>

will be expiring within five business days. We apologize for any inconvenience that this may cause, but this is occurring because all of our customers are required to update their account settings with their personal information.

We are taking these actions because we are implementing a new security policy on our website to insure everyone's absolute privacy. To avoid any interruption in PayPal services then you will need to run the application that we have sent with this email (see attachment) and follow the instructions. Please do not send your personal information through email, as it will not be as secure.

IMPORTANT! If you do not update your information with our secure application within the next five business days then we will be forced to deactivate your account and you will not be able to use your PayPal account any longer. It is strongly recommended that you take a few minutes out of your busy day and complete this now.

DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This mail is sent by an automated message system and the reply will not be received.

Thank you for using PayPal.

Datos adjuntos: [uno de los siguientes]

www.paypal.com.scr
paypal.asp.scr

La segunda extensión queda oculta en una instalación por defecto de Windows (ver en las referencias "Mostrar las extensiones verdaderas de los archivos").

Si se hace doble clic sobre el adjunto, el gusano se ejecuta y se produce la infección.

Cuando ello sucede, se muestra una ventana que simula ser una página de Paypal, donde se le solicita al usuario el ingreso de la información de su tarjeta:

Título de la ventana: PayPal Secure Application

El formulario solicita la siguiente información en la primer pantalla:

Credit Card Number
PIN
CVV Code
Expire date

El código CVV es un código adicional de tres dígitos impreso en el reverso de la tarjeta, que no es registrado durante las transacciones.

Si todos los campos son llenados, y el usuario pincha en el botón [NEXT >], el gusano despliega un mensaje anunciando que la cuenta ha sido actualizada satisfactoriamente:

Your account has been updated successfully!
Press 'OK' to close this window.
[ Ok ]

La información obtenida es guardada en un archivo llamado PPINFO.SYS, ubicado en la carpeta de Windows del equipo infectado, para luego ser enviada a determinadas direcciones.

NOTA: Recuerde que prácticamente es una norma general, que NINGUNA institución responsable le enviará un correo electrónico solicitándole el ingreso de alguna clase de datos, que usted no haya concertado previamente, y mucho menos datos privados tan sensibles como estos.

Luego de ejecutarse, el gusano se copia a si mismo en la siguiente ubicación:

c:\windows\svchost32.exe

También crea los siguientes archivos:

c:\pp.gif
c:\pp.hta
c:\ppinfo.sys
c:\windows\ee98af.tmp
c:\windows\el388.tmp
c:\windows\zp3891.tmp

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

PP.GIF y PP.HTA contienen la imagen (logo de Paypal) y el código HTML para la falsa ventana ya descripta con el título "PayPal Secure Application".

PPINFO.SYS, como ya dijimos, almacena la información robada con los datos de la tarjeta de crédito del usuario.

EL388.TMP contendrá las direcciones de correo a las que se enviará al propagarse en forma masiva.

El gusano modifica luego la siguiente entrada en el registro para ejecutarse en cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SvcHost32 = c:\windows\svchost32.exe

El gusano se registra a si mismo como un servicio en Windows 95, 98 y Me, quedando oculto en la lista de tareas (CTRL+ALT+SUPR).

Cada vez que se ejecuta, el gusano examina si existe una conexión activa a Internet intentando conectarse a www.akamai.com. Si existe la conexión, el gusano inicia tres hilos de ejecución simultáneos para enviar mensajes y propagarse a si mismo.

Primero examina si existe PPINFO.SYS (que contiene la información robada al usuario). En caso de existir, intenta enviar este archivo a varias direcciones incluidas en su código (podrían ser más direcciones):

cccash@centrum.cz
faisuck@centrum.cz
iostics@centrum.cz
mced4cc@centrum.cz
mekayamo@centrum.cz
mystics@mail15.com
nakayamo@centrum.cz
need4cc@mail15.com
xacash@centrum.cz

Al mismo tiempo, para propagarse, busca las direcciones de correo a las que se enviará, en archivos de diferentes carpetas de la máquina infectada. Para ello examina todos los archivos que NO tengan las siguientes extensiones:

.avi
.bmp
.cab
.com
.dll
.exe
.gif
.jpg
.mp3
.mpg
.ocx
.pdf
.psd
.rar
.tif
.vxd
.wav
.zip

Estas direcciones serán almacenadas en el archivo EL388.TMP.

Para el envío de los mensajes, emplea su propio motor SMTP, por lo que no depende del programa de correo instalado.

La rutina de envío, es procesada luego de una hora, tiempo en el que el gusano permanece en estado latente.

El gusano no examina si ya está instalado en memoria, motivo por el cuál podrían ejecutarse varios simultáneamente. En ese caso el usuario notaría una degradación en el rendimiento del equipo.


Sugerencias para administradores

Una forma de proteger a los usuarios con correo corporativo, es crear un filtro antispam para la siguiente dirección "donotreply@paypal.com". Esto puede reducir significativamente la cantidad de mensajes infectados.


Herramienta para quitar el W32/Mimail de un sistema infectado

Symantec
Descargue la utilidad "FxMimail.exe" (188 Kb) y ejecútela en su sistema:
http://www.symantec.com/avcenter/FxMimail.exe
Copyright (C) Symantec 2003.

Funciona con todas las versiones conocidas de Mimail, aunque Symantec las identifica con otros nombres ( Mimail.D la versión E y H, Mimail.E la versión F y G, etc.).


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\pp.gif
c:\pp.hta
c:\ppinfo.sys
c:\windows\ee98af.tmp
c:\windows\el388.tmp
c:\windows\svchost32.exe
c:\windows\zp3891.tmp

NOTA: En algunas versiones de Windows, existe un archivo legítimo llamado SVCHOST.EXE, no lo borre por error.

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

SvcHost32

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

14/nov/03 - Alias: W32/Mimail.I-mm, Win32/Mimail.gen, www.paypal.com.scr
14/nov/03 - Sugerencias para administradores (filtros antispam)
15/nov/03 - Alias: W32.Mimail.H@mm





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com