Jeg bruger selv betalings systemet,har fået en e-mail af slaksen og slettet den på serveren>
Navn: W32.MiMail-I.worm
Alias: WORM_MIMAIL.I, W32/Mimail-I, W32.Paylap@mm
Dato: 14. November 2003
Størrelse: Variable (12,832 bytes)
Oprindelse: ?
Risiko: Lav
Ny MiMail variant viser første tegn på spredning
W32.MiMail-G.worm, er en e-mail baseret Internet orm, som på mange måder minder om de øvrige varianter i samme familie. Koden er pakket med UPX (Ultimate Packer for eXecutables) og fylder 12,832 bytes. Det nye i denne variant sammenlignet med tidligere udgaver er, at denne vil forsøge at stjæle kreditkort oplysninger og adgangskoder til betalingssystemet PayPal. Deruodver anvender den ikke længere pakkeformattet zip til at snige sig forbi gateway scannere. Ormen sender en hilsen til forfatteren af Sobig-familien.
Ormen ankommer med følgende indhold:
Fra: "PayPal.com" donotreply@paypal.com
Emne: YOUR PAYPAL.COM ACCOUNT EXPIRES
Indhold:
Dear PayPal member,
PayPal would like to inform you about some important information regarding your PayPal account. This account, which is associated with the email address will be expiring within five business days. We apologize for any inconvenience that this may cause, but this is occurring because all of our customers are required to update their account settings with their personal information. We are taking these actions because we are implementing a new security policy on our website to insure everyone's absolute privacy. To avoid any interruption in PayPal services then you will need to run the application that we have sent with this email (see attachment) and follow the instructions. Please do not send your personal information through email, as it will not be as secure. IMPORTANT! If you do not update your information with our secure application within the next five business days then we will be forced to deactivate your account and you will not be able to use your PayPal account any longer. It is strongly recommended that you take a few minutes out of your busy day and complete this now. DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This mail is sent by an automated message system and the reply will not be received. Thank you for using PayPal
Vedhæftet (en af følgende):
paypal.asp.scr
www.paypal.com.scr
Hvis den vedhæftede fil køres vil ormen frembringe et vindue indeholdende login oplysninger til PayPal. Hvis brugeren lokkes til at opgive oplysninger via denne dialogboks vil systemet sende oplysningerne videre til ondsindede personer, som kan misbruge oplysningerne til at overføre penge fra en konto til en anden. Oplysningerne sendes via SMTP til følgendende e-mail adresser: nakayamo@centrum.cz, cccash@centrum.cz, mystics@mail15.com og need4cc@mail15.com.
Ormen dropper tre filer til roden af c-drevet: PP.GIF, PP.HTA samt PPINFO.SYS. Derudover kopieres en kopi af ormen ned i windows mappen med navnet SVCHOST32.EXE. Dette er en kopi af ormen. De øvrige komponenter anvendes til at stjæle kreditkort oplysninger fra Paypal konti.
Ormen opretter en runas værdi i registreringsdatabasen:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run=SvcHost32 =[windows mappen]\svchost32.exe
Som led i ormens replikeringsrutine gennemsøges det temorære Internet lager for brugbare e-mail adresser. Alle filer gennemsøges for e-mail adresser, dog undtaget følgende filtyper: com, wav, cab, pdf, rar, zip, tif, psd, ocx, vxd, mp3, mpg, avi, dll, exe, gif, jpg og bmp. Disse filer indeholder typisk ingen brugbare e-mail adresser, hvorfor de undlades. Samtlige e-mail adresser som ormen høster fra den lokale maskine vil modtage en kopi af W32.MiMail-I.worm, som beskrevet i ovenstående.
Med venlig hilsen / Kind regards
Peter Kruse
CSIS / Krusesecurity
http://www.krusesecurity.dk
Manse9933