W32.Mimail.C@mm

Découvert le : 31/10/2003

Dernière mise à jour le : 25/10/2004

En raison du nombre croissant de virus soumis, Symantec Security Response a réévalué W32.Mimail.C@mm, qui passe du Niveau 2 au Niveau 3.

W32.Mimail.C@mm est une variante de W32.Mimail.A@mm, qui se propage par courrier électronique et dérobe les informations contenues dans les ordinateurs infectés.

Le courrier électronique présente les caractéristiques suivantes :

Objet : Re[2]: our private photos [suite de lettres prise au hasard]
Pièce jointe : photos.zip

Symantec Security Response a développé un outil de suppression pour nettoyer les infections causées par W32.Mimail.C@mm.

Egalement appelé : W32/Mimail.c@mm [McAfee], WORM_MIMAIL.C [Trend], W32/Mimail-C [Sophos], I-Worm.Mimail.c [Kaspersky], Win32.Mimail.C [Computer Associates]

Variantes : W32.Mimail.A@mm

Type : Ver

Etendue de l’infection : 12 832 octets

Systèmes affectés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Systèmes non affectés : Linux, Macintosh, OS/2, UNIX, Windows 3.x

Protection

Définitions de virus (LiveUpdate™ Weekly)

31/10/2003

Définitions de virus (Intelligent Updater)

31/10/2003

évaluation de la menace

Wild

Métrique de la menace

Wild : Moyen	Dommages : Moyen	Distribution : Elevé

détails techniques

Lorsque W32.Mimail.C@mm s'exécute, il agit ainsi :

Il se copie comme %Windir%\Netwatch.exe.

Remarque : %Windir% est une variable. Le ver détermine l'emplacement du dossier d'installation de Windows (C:\Windows ou C:\Winnt par défaut) et se copie à cet emplacement.
Il ajoute la valeur :

"NetWatch32" = "%Windir%\netwatch.exe"

à la clé de registre :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Il collecte les adresses électroniques présentes dans tous les fichiers de l'ordinateur infecté, à l'exception de celles contenant les extensions suivantes :
- com
- wav
- cab
- pdf
- rar
- zip
- tif
- psd
- ocx
- vxd
- mp3
- mpg
- avi
- dll
- exe
- gif
- jpg
- bmp
Il copie toutes les adresses électroniques dans le fichier %Windir%\eml.tmp.
Il vérifie ensuite qu'il y ait une connexion Internet valide en essayant de se connecter à www.google.com.
Il capture ensuite du texte à partir de fenêtres spécifiques et envoie les données à des adresses électroniques prédéterminées.
Il envoie des messages électroniques en utilisant son propre moteur SMTP. Voici ce que le ver fait pour chaque adresse électronique qu'il récupère :
1. Il recherche l'enregistrement MX du nom du domaine en utilisant le serveur DNS du l'hôte actuel. S'il ne trouve pas de serveur DNS, la valeur par défaut est 212.5.86.163.
2. Il acquiert ensuite le serveur de messagerie associé à ce domaine particulier.
3. Il contacte directement le serveur de destination.
  
  Le courrier électronique présente les caractéristiques suivantes :
  
  De : james@<domaine actuel> (L'adresse d'origine peut être usurpée de façon à ce qu'elle paraisse venir du domaine actuel)
  
  Objet : Re[2]: our private photos [suite de lettres prise au hasard]

Message :

Hello Dear!,

Finally i've found possibility to right u, my lovely girl :)

All our photos which i've made at the beach (even when u're without ur bh:))

photos are great! This evening i'll come and we'll make the best SEX :)

Right now enjoy the photos. Kiss, James. [random sequence of letters]

Pièce jointe :

Remarque : Photos.zip ne contient qu'un fichier : photos.jpg.exe.

8. Il provoque un Déni de Service (DoS) dont les caractéristiques sont les suivantes :

Il sélectionne un site au hasard dans la liste suivante :

1. darkprofits.net
2. www.darkprofits.net
3. darkprofits.com
4. www.darkprofits.com
La routine du DoS consiste à avoir 15 threads d'attaque actives à tout moment.
Chaque thread établit une connexion TCP ou une attaque ICMP, puis se met en veille pendant 5 secondes.
Le ver choisit d'établir une connexion TCP sur le port 80 ou bien une attaque ICMP.
Les paquets envoyés à la victime comprennent un résultat d'activation de 2K plein de données prises au hasard.
Il utilise un type ICMP pris au hasard lors de l'attaque ICMP.
Les données envoyées sont soit une requête GET ou bien des données prises au hasard lors de la connexion HTTP.

9. Le ver crée deux fichiers supplémentaires dans le dossier %Windir%.

Zip.tmp : il s'agit d'une copie temporaire de message.zip (12 958 octets).
Exe.tmp : il s'agit d'une copie temporaire de message.html (12 832 octets).

Symantec Security Response invite utilisateurs et administrateurs à adopter les mesures de base les plus efficaces en matière de sécurité :

Eteignez et supprimez tous les services inutiles. Par défaut, de nombreux systèmes d’exploitation installent des services auxiliaires qui ne sont pas primordiaux, tels qu’un client FTP, telnet, et un serveur Web. Ces services sont la porte ouverte aux attaques. S’ils sont supprimés, les attaques ont moins de chances de parvenir et vous avez moins de services à entretenir au moyen de correctifs.
Si une attaque multiple exploite un ou plusieurs services réseau, désactivez ou bloquez l’accès à ces services jusqu’à ce qu’un correctif soit appliqué.
Maintenez toujours le niveau de vos correctifs à jour, en particulier sur les ordinateurs qui hébergent des services publics et qui sont accessibles via un firewall, tels que HTTP, FTP, messagerie, et services DNS.
Appliquez une stratégie un mot de passe. Sur les ordinateurs compromis, il est plus difficile de violer les fichiers de mots de passe si ceux-ci sont complexes. Ceci vous permet d’éviter ou de limiter les dommages potentiels encourus par un ordinateur compromis.
Configurez votre serveur de messagerie afin de bloquer ou de supprimer les e-mails qui contiennent des annexes couramment utilisées pour propager des virus, comme par exemple les fichiers .vbs, .bat, .exe, .pif et .scr.
Isolez rapidement les ordinateurs infectés afin d’éviter de compromettre d’avantage votre organisation. Effectuez une analyse complète et restaurez les ordinateurs utilisant des médias approuvés.
Exhortez les employés à n’ouvrir que les pièces jointes attendues. Aussi, n’exécutez aucun logiciel téléchargé depuis Internet qui n’a pas subi de recherche de virus. Le simple fait de visiter un site Internet compromis peut provoquer une infection si certaines vulnérabilités du navigateur ne sont pas corrigées.

Suppression à l'aide de l'outil de W32.Mimail
Symantec Security Response a créé un outil de suppression destiné à nettoyer toutes les infections provoquées par W32.Mimail.C@mm. C'est le moyen le plus simple de supprimer cette menace, et devrait être utilisé en premier lieu.

Suppression manuelle
Si vous n'utilisez pas l'outil de suppression, vous pouvez éradiquer cette menace manuellement.

Les instructions suivantes sont valables pour tous les derniers produits anti-virus Symantec, y compris les gammes Symantec AntiVirus et Norton AntiVirus.

Désactivez l'option de restauration du système (Windows Me/XP)
Actualisez les définitions de virus.
Exécutez une analyse complète du système et éliminez tous les fichiers détectés comme W32.Mimail.C@mm.
Supprimez la valeur ajoutée au registre.

Pour plus de détails sur chacune des étapes, lisez les instructions suivantes.

1. Désactiver l'option de restauration du système (Windows Me/XP)
Si vous utilisez Windows Me ou Windows XP, nous vous conseillons de désactiver temporairement la restauration du système. Windows Me et XP utilisent cette fonctionnalité, activée par défaut afin de pouvoir restaurer des fichiers sur votre ordinateur, s'ils venaient à être endommagés. Si un ordinateur a été infecté par un virus, un ver ou un cheval de Troie, il est possible que ce virus, ver ou cheval de Troie soit sauvegardé par la Restauration du système.

Windows empêche des programmes tiers, y compris les programmes anti-virus, de modifier la Restauration du système. Par conséquent, les programmes ou outils anti-virus ne peuvent pas éradiquer les menaces dans le dossier de Restauration du système. Par conséquent, la Restauration du système peut restaurer un fichier infecté sur votre ordinateur même après que vous ayez nettoyé les fichiers infectés sur tous les autres emplacements.

Une analyse des virus peut également détecter une menace dans le dossier de restauration du système même si vous avez supprimé la menace.

Pour savoir comment désactiver la Restauration du système, consultez la documentation de Windows ou l'un des articles suivants :

Remarque : Lorsque vous avez terminé la procédure de suppression, et que vous pensez que la menace est éliminée, vous devriez réactiver System Restore en suivant les instructions détaillées dans les documents cités ci-dessus.

Pour plus d'informations, et une méthode alternative pour désactiver la Restauration du système de Windows Me, consultez le document (anglais) de la base de connaissance de Microsoft : AntiVirus Tools Cannot Clean Infected Files in the _Restore Folder, ID de l'article : Q263455.

2. Mettre à jour les définitions de virus
Symantec Security Response réalise des tests complets de qualité pour toutes les définitions de virus avant leur publication sur nos serveurs. Il y a deux façons de se procurer les dernières définitions de virus :

La méthode la plus simple pour obtenir les dernières définitions de virus est d'exécuter LiveUpdate : Celles-ci sont publiées chaque semaine sur les serveurs LiveUpdate (en principe tous les mercredis) sauf en cas d'attaque virale critique. Pour savoir si des définitions de LiveUpdate sont disponibles pour cette menace, reportez-vous à la ligne Définitions de virus (LiveUpdate) de l'encadré Protection de cet article.
L'autre consiste à télécharger les définitions de virus en utilisant Intelligent Updater. Les définitions de virus d'Intelligent Updater sont publiées les jours ouvrés aux Etats-Unis (du lundi au vendredi). Elles doivent être téléchargées sur le site Web de Symantec Security Response puis installées manuellement. Pour savoir si des définitions d'Intelligent Updater sont disponibles pour cette menace, reportez-vous à la ligne Définitions de virus (Intelligent Updater) de l'encadré Protection de cet article.

Les définitions de virus d'Intelligent Updater sont disponibles : Pour des instructions détaillées, consultez le document intitulé Comment mettre à jour les définitions de virus en utilisant l'Intelligent Updater.

3. Rechercher les fichiers infectés et les supprimer

Démarrez votre programme anti-virus Symantec et assurez-vous que ce dernier a été configuré pour analyser tous les fichiers.
- Pour les produits grand public Norton AntiVirus : Lisez le document Comment configurer Norton AntiVirus afin qu'il analyse tous les fichiers.
- Pour les produits anti-virus Enterprise Symantec : Lisez le document Comment vérifier qu'un produit antivirus Corporate Edition de Symantec est configuré de façon à analyser tous les fichiers.
Exécutez une analyse complète du système.
Si un fichier est détecté comme infecté par W32.Mimail.C@mm, cliquez sur Supprimer.

4. Supprimer la valeur du registre

ATTENTION : Nous vous recommandons vivement d’effectuer une sauvegarde du registre avant d’y apporter des modifications. Une modification incorrecte du registre peut provoquer la perte définitive de données ou la corruption de fichiers. Ne modifiez que les clés indiquées. Pour des instructions détaillées, consultez le document Comment faire une copie de sauvegarde du Registre de Windows.

Cliquez sur Démarrer > Exécuter. (La boîte de dialogue Exécuter apparaît.)
Tapez regedit

Puis cliquez sur OK. (L’Editeur du Registre apparaît.)
Accédez à la clé suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dans le volet de droite, supprimez la valeur :

"NetWatch32" = "%Windir%\netwatch.exe"
Quittez l’Editeur du Registre.

Historique :

2 novembre 2003 : Mise à jour des informations sur les alias.

Article rédigé par : Benjamin Nahorney & Atli Gudmundsson