Лаборатория Касперского сообщила об обнаружении вируса "Mimail.c" - новой модификации известного сетевого червя "Mimail". На данный момент уже зарегистрировано несколько случаев заражения компьютеров этой вредоносной программой.
"Mimail.c" является классическим почтовым червем, распространяющимся через электронные письма, которые выглядят следующим образом:
Адрес отправителя: james@домен_получателя
Заголовок: Re[2]: our private photos
Текст:
Hello Dear!,
Finally i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're without ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)
Right now enjoy the photos.
Kiss, James.
Имя вложенного файла: photos.jpg.zip
Интересно отметить, что адрес отправителя зараженных сообщений формируется с помощью добавления к нему домена получателя. Таким образом, затрудняется локализация эпицентра заражения и у пользователя может создаться впечатление, что письмо пришло от одного из коллег или знакомых.
Если пользователь имел неосторожность открыть вложенный файл, то "Mimail.c" запускает процедуры внедрения на компьютер и дальнейшего распространения по сети. Прежде всего, червь копирует себя в каталог Windows с именем "netwatch.exe", регистрирует этот файл в ключе автозапуска системного реестра операционной системы и создает ряд дополнительных служебных файлов. В частности, при создании одного из этих файлов червь использует встроенные процедуры ZIP-архивации.
Для рассылки зараженных писем "Mimail.c" также использует встроенные функции - специальную процедуру для распространения по протоколу SMTP. Червь сканирует файлы в каталогах "Shell Folders" и "Program Files" и считывает из них строки, похожие на адреса электронной почты. По найденным адресам "Mimail.c" незаметно для пользователя рассылает свои копии.
Червь обладает опасным побочным действием, которое может вызвать существенный ущерб для пользователей платежной системы "E-Gold". В частности, "Mimail.c" следит за активностью приложений "E-Gold", установленными на зараженном компьютере, считывает из них конфиденциальные данные и отсылает на несколько анонимных адресов, принадлежащих автору червя.
Помимо этого, со всех зараженных компьютеров червь осуществляет распределенную DoS-атаку на сайты www.darkprofits.com и www.darkprofits.net, отсылая на них в бесконечном цикле пакеты произвольного размера.