Internetem se začala šířit nová varianta emailového červa z rodiny Mimail, který pravidelně obsazuje přední pozice žebříčků virové aktivity.
Variantu P poznáte ve svých mailboxech podle následujících charakteristických znaků:
Odesílatel: donotreply@paypal.com
Předmět emailu: YOUR PAYPAL.COM ACCOUNT EXPIRES
Text emailu:
Dear PayPal member,
PayPal would like to inform you about some important information regarding your PayPal account. This account, which is associated with this email address will be expiring within five business days. We apologize for any inconvenience that this may cause, but this is occurring because all of our customers are required to update their account settings with their personal information.
We are taking these actions because we are implementing a new security policy on our website to insure everyone`s absolute privacy. To avoid any interruption in PayPal services then you will need to run the application that we have sent with this email (see attachment) and follow the instructions. Please do not send your personal information through email, as it will not be as secure.
IMPORTANT! If you do not update your information with our secure application within the next five business days then we will be forced to deactivate your account and you will not be able to use your PayPal account any longer. It is strongly recommended that you take a few minutes out of your busy day and complete this now.
DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This mail is sent by an automated message system and the reply will not be received.
Thank you for using PayPal.
Samozřejmě nechybí ani vlastní zavirovaná příloha, která nese jméno paypal.asp.scr
Stejně jako všechny ostatní varianty Mimailu se i tento snaží po spuštění získat informace o kreditní kartě do systému PayPal pomocí falešného formuláře. Získávání dat v této verzi probíhá ve třech po sobě následujících oknech:
Červ otevírá na počítači port 5555, na kterém naslouchá a čeká na případné příchozí povely. Pomocí modifikace systémového registru si zajistí opětovné spuštění i po restartu počítače.
Jeho činy je možno poměrně jednoduše diagnostikovat změnou domovské stránky Internet Exploreru na novou adresu: http://www.anvari.org/db/fun/World_Trade_Center/Bush_Monkey.jpg.
Podle aktuálních statistik šíření tohoto červa není zas až tak dramatické, nicméně může jít o ticho před bouří. Prakticky všechny antivirové společnosti mají již tuto variantu červa ve svých definicích, proto doporučujeme aktualizaci vašich antivirových programů.