De: "PayPal.com" donotreply@paypal.com
Asunto: GREAT NEW YEAR OFFER FROM PAYPAL.COM!      [xxxx]

Texto:

*** GREAT NEW YEAR OFFER FROM PAYPAL.COM *** 

Dear PayPal.com Member,

We here at PayPal.com are pleased to announce that we have a special New Year offer for you! If you currently have an account with PayPal then you will be eligible to receive a terrific prize from PayPal.com for the New Year. For a limited time only PayPal is offering to add 10% of the total balance in your PayPal account to your account and all you have to do is register yourself within the next five business days with our application (see attachment)!

If at this time you do not have a PayPal account of your own you can also register yourself with our secure application and get this great New Year bonus! If you fill out the secure form we have provided PayPal will create an account for you (it's free) and you will receive a confirmation e-mail that your account has been created.

That's not all! If you resend this letter (with its attachment) to all of your friends you may be eligible to receive another New Year bonus because the 1000 PayPal members that send the most of these to their friends will get the bonus. If you are one of these 1000 lucky members then PayPal will add 17% of your total balance to your account!

Registration is simple. Just unpack the attachment with WinZip, run the application, and follow the instructions we have provided. If you have problems opening the application then you may want to try downloading a free version of WinZip from www.winzip.com

Do not miss your chance at this fantastic opportunity! Thousands of our current customers have already received their prizes and now it's your turn; so hurry up and take advantage of this special offer!

Best of luck in the New Year,
PayPal.com Team

Datos adjuntos: pp-app.zip

El adjunto debe ser abierto por el usuario. Cuando lo hace, aparece un ejecutable con un nombre al azar y extensión .EXE. Si se hace doble clic sobre ese archivo, el gusano se ejecuta y se produce la infección.

Cuando ello sucede, se muestra una ventana que simula ser una página de Paypal, donde se le solicita al usuario el ingreso de la información de su tarjeta:

Título de la ventana:

*** GREAT NEW YEAR OFFER FROM PAYPAL.COM ***

El formulario solicita la siguiente información en la primer pantalla:

Credit Card Number
PIN
CVV Code
Expire date

El código CVV es un código adicional de tres dígitos impreso en el reverso de la tarjeta, que no es registrado durante las transacciones.

Si todos los campos son llenados, y el usuario pincha en el botón [NEXT >], el gusano despliega una segunda pantalla, donde se solicitan datos como nombres, fecha de nacimiento, país, etc.

Por último, al completar los datos de esa segunda pantalla, se muestra un mensaje como el siguiente:

You will receive a confirmation email once your
registration has been completed.

Nota: Si aparece cualquiera de estas pantallas, no pulse en los botones que se muestran, y para cerrar la ventana, pulse las teclas CONTROL+F4.

La información obtenida es guardada en un archivo para luego ser enviada a Internet.

NOTA: Recuerde que prácticamente es una norma general, que NINGUNA institución responsable le enviará un correo electrónico solicitándole el ingreso de alguna clase de datos, que usted no haya concertado previamente, y mucho menos datos privados tan sensibles como estos.

Luego de ejecutarse, el gusano se copia a si mismo en la siguiente ubicación:

c:\windows\winmgr32.exe

También crea los siguientes archivos:

c:\index.hta
c:\index2.hta
c:\tmpenc.txt
c:\tmpny3.txt
c:\windows\ee98af.tmp
c:\windows\outlook.cfg
c:\windows\zipzip.tmp

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

El gusano modifica la siguiente entrada en el registro para ejecutarse en cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WinMgr32 = c:\windows\winmgr32.exe

También se registra a si mismo como un servicio en Windows 95, 98 y Me, quedando oculto en la lista de tareas (CTRL+ALT+SUPR).

Cada vez que se ejecuta, el gusano examina si existe una conexión activa a Internet haciendo un PING a Google.com. Si existe la conexión, el gusano inicia el envío de mensajes para propagarse a si mismo.

Las direcciones de correo a las que se envía, son extraídas de archivos en diferentes carpetas de la máquina infectada, que NO tengan las siguientes extensiones:

.avi
.bmp
.cab
.com
.dll
.exe
.gif
.jpg
.mp3
.mpg
.ocx
.pdf
.psd
.rar
.tif
.vxd
.wav
.zip

Para el envío de los mensajes, emplea su propio motor SMTP, por lo que no depende del programa de correo instalado.

Si la conexión a Internet no está disponible, el gusano cambia la página de inicio del Internet Explorer por una imagen satírica relacionada con el presidente norteamericano George Bush, en el siguiente servidor:

http:/ /www.anvari.org/

Contiene un componente troyano del tipo spyware, que colecciona datos de la cuenta de correo electrónico del usuario (nombre, contraseña, servidores POP3 y SMTP, etc.). Además, puede enviar a un sitio predeterminado, la información de la tarjeta de crédito capturada antes. El troyano abre el puerto TCP/5555 para sus acciones.

También detecta ciertas ventanas abiertas correspondientes a determinadas aplicaciones, e intenta coleccionar cierta información ingresada por el usuario.


Sugerencias para administradores

Una forma de proteger a los usuarios con correo corporativo, es crear un filtro antispam para la siguiente dirección "donotreply@paypal.com". Esto puede reducir significativamente la cantidad de mensajes infectados.


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\winmgr32.exe
c:\index.hta
c:\index2.hta
c:\tmpenc.txt
c:\tmpny3.txt
c:\windows\ee98af.tmp
c:\windows\outlook.cfg
c:\windows\zipzip.tmp

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

WinMgr32

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Cambiar la página de inicio del Internet Explorer

Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o pinche en "Página en blanco"). O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

08/ene/04 - Alias: W32/Mimail-N
08/ene/04 - Actualización de la descripción
08/ene/04 - Alias: W32/Mimail.N.worm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com