Internetový červ Mimail se stále drží na čelních místech žebříčků virových aktivit a to hlavně díky velkému množství mutací, které se po světě šíří. Nově objevená varianta se mírně liší od předchozích – nepokouší se podvrženým formulářem zjistit údaje o kreditní kartě, ale zase pro doplnění spektra činností provádí DoS útoky na předdefinované webové adresy.
Mutace T se stejně jako všechny ostatní varianty šíří pomocí hromadně rozesílaných emailů se zavirovanou přílohou. Samotný email má následující charakteristiku:
Texty kolonek Od, Předmět a vlastní tělo zprávy jsou náhodně vygenerovány. Stejně tak jméno přiloženého souboru je vygenerováno z následujících fragmentů:
První část jména přílohy o délce 14 880 bajtů obsahuje jedno z následujících slov:
- my
- priv
- private
- prv
- the
- best
- super
- great
- cool
- wild
- sex
- fXck
Tato část je doplněna jedním či dvěma podtržítky nebo tečkou a pokračuje jedním z následujících slov:
- pic
- img
- phot
- photos
- pctrs
- images
- imgs
- scene
- plp
- act
- action
Na závěr je jméno souboru doplněno příponou:
- .pif
- .scr
- .exe
- .jpg.scr
- .jpg.pif
- .jpg.exe
- .gif.exe
- .gif.pif
- .gif.scr
Pokud uživatel tuto nebezpečně vypadající přílohu opravdu spustí, dojde na lokálním počítači k následujícím akcím:
- Červ zkopíruje svůj kód do adresáře Windows pod jmény Kaspersky.exe a Ee98af.tmp. První spustitelný soubor tak může budit falešný dojem, že se jedná o antivirový program společnosti Kaspersky.
- Červ sám sebe zaregistruje jako službu operačního systému.
- V systémovém registru vytvoří položku "KasperskyAv" = " %Windir%\kaspersky.exe" v klíčí HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, čímž si zajistí automatické spuštění i po restartu systému.
- Pomocí testu spojení na IP adresu stránek www.google.com se pokouší zjistit, zda je napadený počítač aktuálně připojen k Internetu.
- Prochází všechny soubory kromě typů *.jpg, *.gif, *.exe, *.dll, *.avi, *.mpg, *.mp3, *.vxd, *.ocx, *.psd, *.tif, *.zip, *.rar, *.pdf, *.cab, *.wav, *.com a hledá v nich emailové adresy.
- Pomocí vlastního SMTP enginu následně na tyto adresy odesílá kopii zavirovaného emailu.
- Pro každou emailovou adresu se červ pokouší zjistit adresu poštovního serveru, který patří k cílové doméně emailové adresy a to buď podle systémového DNS serveru nebo pomocí DNS serveru na IP adrese 212.5.86.163. Poté SMTP engine kontaktuje přímo cílový mail server.
- Červ dále provádí DoS (Denial of Service) útok následujících parametrů:
- náhodně vybírá z následujících domén:
-darkprofits.net
-darkprofits.cc
-darkprofits.com
-spew.org
- náhodně navazuje TCP spojení na portu 80 nebo provádí ICMP útok. Pakety, které odesílá obsahují 2kB dat vyplněných náhodnými znaky.
- při provádění http spojení červ zasílá náhodná data za použití GET požadavku.
V samotném těle červa je vložen následující text:
*** GLOBAL WARNING: if any free email company or hosting company will close/filter my email/site accounts, it will be DDoS`ed in next version.
WARNING: centrum.cz will be DDoS`ed in next versions, coz they have closed my mimail-email account. Who next? ***
Pokud se dobře podíváte, autor se snaží vyhrožovat společnostem, které by chtěly jeho variantu červa
nějakým způsobem odfiltrovat, DoS útokem z další verze červa.
Nezapomeňte na aktualizaci vašeho antivirového programu.