Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

W32.Mimail.A@mm

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

W32.Mimail.A@mm

Postdi amvinfe » 02/08/03 14:50

W32.Mimail.A@mm


E’ un worm che si sta propagando rapidamente, viene classificato dalla Sarc con un livello d’attenzione 3 su 5.

Si riceve la mail con priorità alta avente queste caratteristiche:

Da: admin@<dominio del destinataro>
A: <nome/indirizzo del destinatario>
Oggetto: your account (seguito da caratteri casuali)
Allegato: message.zip (19 Kb)


Testo:
Hello there,

I would like to inform you about important information
regarding your email address. This email address will
be expiring. Please read attachment for details.

---
Best regards, Administrator

<caratteri casuali>

All’interno dell’allegato con estensione .zip troviamo il file message.html che se aperto infetta la macchina.
Il file .html contiene al suo interno uno script che esegue un file .exe, compresso in UPX, la prima linea di questo archivio contiene questo testo:

MIME-Version: 1.0
Content-Location:File://foo.exe
Content-Transfer-Encoding: binary


Lo script libera la copia nascosta all’interno dell’archivio (FOO.EXE) sfruttando una vulnerabilità ormai conosciuta in Internet Explorer che permette ad uno script presente in un archivio .html l’accesso agli archivi del disco senza che la macchina mostri alcun messaggio.
Questo il codice:
mhtml:'+path+'\\message.html!File://foo.exe
A questo punto verrà aperta una pagina a sfondo nero e a grandi lettere recante il messaggio
Please wait loading message .....

Qui viene descritta la vulnerabilità (MHTML in Outlook Express) all’interno della pagina è presente anche la patch.
http://support.microsoft.com/default.aspx?scid=kb;en-us;330994

Aggiunge poi nella directory Windows i seguenti files:
c:\windows\exe.tmp
c:\windows\zip.tmp
c:\windows\eml.tmp
c:\windows\videodrv.exe

Il file exe.tmp è il worm presente nell’archivio .html
Il file zip.tmp è il worm contenuto nell’archivio .zip
Il file eml.tmp è la lista delle mail che il worm ha cercato nella macchina
Il file videodrv.exe è l’eseguibile del worm.
Nota:
La directory varia a seconda del sistema operativo in uso.


Questa la chiave aggiunta dal worm:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
VideoDriver = c:\windows\videodrv.exe
Crea inoltre le seguenti chiavi:
HKEY_CLASSES_ROOT\CLSID
{11111111-1111-1111-1111-111111111111}

HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
{11111111-1111-1111-1111-111111111111}
Per inviarsi cercherà tutti I possibili indirizzi mail all’interno di tutti i files presenti nel disco ad eccezione di quelli aventi le seguenti estensioni:
.avi
.bmp
.cab
.com
.dll
.exe
.gif
.jpg
.mp3
.mpg
.ocx
.pdf
.psd
.rar
.tif
.vxd
.wav
.zip
N.B.
Si allega e si spedisce usando un proprio motore SMTP.

Ha inoltre la capacità di spedire “mail spazzatura” agli indirizzi memorizzati prelevando a caso i testi nelle varie directory , dove l’”Oggetto” sarà sempre - c:\tmpe.tmp -. Il teso contiene come scritto solo “spazzatura”.
Rimozione manuale:
disabilitare il System Restore nei sistemi WinMe e WinXP, riavviare.
Riabilitare il System Restore, riavviare.
Riavviare in modalità provvisoria (F8)
Cercare ed eliminare i files:
c:\windows\exe.tmp
c:\windows\zip.tmp
c:\windows\eml.tmp
c:\windows\videodrv.exe
Svuotare il cestino!
Start>Esegui> =>regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Eliminare dal pannello di dx la voce
VideoDriver

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\
Eliminare la voce
{11111111-1111-1111-1111-111111111111}

HKEY_CLASSES_ROOT\CLSID
eliminare la voce
{11111111-1111-1111-1111-111111111111}

Uscire dal registro.
Per eliminare il worm automaticamente disabilitare il System Resore in WinMe e WinXP, riavviare , riabilitare il System Restore e riavviare in modalità provvisoria ed usare il seguente Fix_tool
http://www.symantec.com/avcenter/FxMimail.exe

Marco(amvinfe)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Sponsor
 

Postdi BianConiglio » 03/08/03 20:09

solita cosa...ormai son fatti con lo stampino ;)
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi Ted » 12/08/03 12:37

ciao a tutti ..ho riscontrato lo stesso problema ... ma scusate .. come faccio a disabilitare il System Restore ???

grazie ...
Ted
Newbie
 
Post: 1
Iscritto il: 12/08/03 12:32

Postdi Nicola » 12/08/03 12:41

Ted ha scritto:ciao a tutti ..ho riscontrato lo stesso problema ... ma scusate .. come faccio a disabilitare il System Restore ???

grazie ...


tx su Risorse del computer - Proprieta` - Avanzate - Ripristino del sistema e levi il check sull'abilitazione (o simile).

Ciao
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00


Torna a Sicurezza e Privacy

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti