W32.Mimail.A@mm

W32.Mimail.A@mm è un worm che si diffonde via e-mail, e che sottrae informazioni dal computer dell'utente. Le caratteristiche del messaggio di e-mail sono le seguenti: Oggetto: account dell'utente [stringa variabile] Allegato: message.zip La minaccia si impadronisce di informazioni presenti in certe finestre sul desktop di un utente e le invia via e-mail a specifici indirizzi di posta. La minaccia sfrutta delle vulnerabilità note: MS02-15 e MS03-14. Informazioni sulla vulnerabilità e una patch di Microsoft sono disponibili all'indirizzo: http://support.microsoft.com/default.aspx?scid=kb;it;330994 Per impedire infezioni da parte di questo worm gli amministratori di sistema sono incoraggiati ad applicare la patch di Microsoft. Il worm è stato realizzato tramite UPX. Le definizioni dei virus con un numero di versione 50801r, note anche come 1 agosto 2003 rev 18, o successive rilevano questa minaccia. Symantec Security Response ha creato uno strumento per rimuovere W32.Mimail.A@mm.

Noto anche come:	WORM_MIMAIL.A [Trend], W32/Mimail@MM [McAfee], Win32.Mimail.A [CA], W32/Mimail-A [Sophos], I-Worm.Mimail [Kaspersky]
Tipo:	worm
Lunghezza dell’infezione:	circa 16 kb
Sistemi operativi minacciati:	Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
Sistemi operativi non minacciati:	Macintosh, OS/2, UNIX, Linux

Definizioni dei virus (LiveUpdate™ Weekly) 01/08/2003 Definizioni dei virus (Intelligent Updater) 01/08/2003

Wild Numero di macchine infette: Più di 1000 Numero di sedi infette: 3 - 9 Distribuzione geografica: Bassa Contenimento della minaccia: Facile Rimozione: Moderata

Grafico della minaccia Wild: Bassa Danno: Bassa Distribuzione: Alta

Distribuzione

• Oggetto del messaggio: il proprio account e-mail %s
• Nome dell’allegato: message.zip

Quando W32.Mimail.A@mm viene eseguito, svolge le seguenti operazioni:

1. Copia sé stesso in %Windir%\Videodrv.exe
   
   
2. Aggiunge il valore:
   
   "VideoDriver"="%Windir%\videodrv.exe"
   
   alla chiave di registro:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   in modo che W32.Mimail.A@mm venga eseguito all'avvio di Windows
   
   
3. Raccoglie gli indirizzi di e-mail dai file con le seguenti estensioni:
   ".bmp"
   ".jpg"
   ".gif"
   ".exe"
   ".dll"
   ".avi"
   ".mpg"
   ".mp3"
   ".vxd"
   ".ocx"
   ".psd"
   ".tif"
   ".zip"
   ".rar"
   ".pdf"
   ".cab"
   ".wav"
   ".com"
   
4. Scrive tutti gli indirizzi di e-mail sul file %Windir%\eml.tmp.
   
5. Si impadronisce del testo da specifiche finestre e invia i dati agli indirizzi di e-mail contenuti nel worm.
   
6. Utilizza il proprio server SMTP per diffondersi via e-mail. Per ciascun indirizzo e-mail al quale vuole inviare sé stesso, il worm eseguirà le seguenti operazioni:
   • Cerca il record MX del nome di dominio utilizzando il server DNS dell'host corrente. Se il server DNS non viene trovato, si connetterà per impostazione predefinita a 212.5.86.163.
   • Acquisisce il server di posta associato a quel particolare dominio.
   • Contatta direttamente il server di destinazione.
     
     Le caratteristiche del messaggio di e-mail sono le seguenti:
     
     Da: admin@<dominio corrente> (l'indirizzo del mittente può essere alterato in modo da apparire come se provenisse dal dominio corrente)
     
     Oggetto: account dell'utente %s
     
     Messaggio:
     Hello there,
     I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.
     
     Best regards,
     Administrator
     
     Allegato: Message.zip
     
     
7. Message.zip contiene il file Message.htm, che utilizza una tecnica di infiltrazione basata su codice per creare una copia del worm di nome Foo.exe nella cartella Temporary Internet Files folder, quindi lo esegue.
   
   Informazioni sulla vulnerabilità e una patch di Microsoft sono disponibili all'indirizzo:
   http://support.microsoft.com/default.aspx?scid=kb;it;330994
   Per impedire infezioni da parte di questo worm gli amministratori di sistema sono incoraggiati ad applicare la patch di Microsoft.
   
8. Quando il file HTML viene eseguito, determina la creazione della seguente chiave di registro:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111111111}
   
9. Il worm crea altri due file nella cartella %Windir%:
   • Zip.tmp: questa è una copia temporanea di message.zip (30.079 byte).
   • Exe.tmp: questa è una copia temporanea di message.hml (29.957 byte).

Il Symantec Security Response raccomanda a tutti gli utenti informatici e amministratori di rete di attenersi alle seguenti linee guida elementari, basate sulle migliori pratiche di sicurezza.

• Disattivare e rimuovere qualsiasi servizio non necessario. Per impostazione predefinita, molti sistemi operativi installano servizi ausiliari che non sono strettamente necessari al sistema stesso, quali client FTP, telnet e server Web. Tali servizi possono servire da accesso per eventuali attacchi. Se rimossi, le minacce composite dispongono di un numero inferiore di possibilità di accesso al sistema e al tempo stesso l’utente dispone di un numero inferiore di servizi da mantenere tramite moduli di aggiornamento.
• Se una minaccia composita si avvale di uno o più servizi di rete è consigliabile disattivare o impedire l’accesso a tali servizi, fino a quando non venga applicato un modulo di aggiornamento.
• Accertarsi di applicare sempre sul proprio sistema i moduli di aggiornamento più recenti, in particolare se si opera su macchine che mantengono servizi pubblici e cui è possibile accedere tramite firewall, quali http, FTP, posta elettronica e servizi DNS.
• Imporre una politica severa sull’uso delle password. Password complesse rendono più difficoltoso l’accesso a file protetti su computer minacciati da un accesso illecito. In tal modo, anche in caso di computer attaccato illecitamente, i danni incorsi sono notevolmente limitati, se non del tutto prevenuti.
• Configurare il proprio server di posta elettronica in modo che blocchi o elimini i messaggi contenenti file in allegato le cui estensioni vengono comunemente utilizzate per diffondere virus. Ad esempio: .vbs, .bat, .exe, .pif e .scr.
• Isolare in tutta rapidità le macchine infette, per evitare la diffusione del danno ad altre macchine all’interno della propria organizzazione. Eseguire un’analisi approfondita e ripristinare le macchine mediante dispositivi fidati.
• Operare una formazione del personale, istruendo i propri dipendenti a non aprire allegati se non si era a conoscenza del fatto che l’allegato in questione sarebbe stato inviato. Inoltre, non eseguire programmi scaricati da Internet senza prima operare una scansione antivirus. Anche semplicemente visitare un sito Internet compromesso può significare contrarre un’infezione, se non sono stati applicati moduli di aggiornamento appositi per determinate vulnerabilità del browser.

1. Disattivare Ripristino configurazione di sistema (Windows Me/XP).
2. Aggiornare le definizioni dei virus.
3. Eseguire una scansione completa del sistema ed eliminare tutti i file rilevati come W32.Mimail.A@mm.
4. Eliminare il valore che è stato aggiunto al registro.
   

• Come disattivare o attivare Ripristino configurazione di sistema in Windows Me
• Come disattivare o attivare Ripristino configurazione di sistema in Windows XP

• Esecuzione di LiveUpdate, che è il metodo più semplice per ottenere le definizioni dei virus. Queste definizioni dei virus vengono pubblicate sui server di LiveUpdate una volta alla settimana, generalmente il venerdì, a meno che non si verifichino epidemie di rilievo. Per determinare se le definizioni per questa minaccia sono disponibili tramite LiveUpdate, consultare Virus Definitions (LiveUpdate).
• Scaricamento delle definizioni tramite Intelligent Updater: Le definizioni dei virus di Intelligent Updater vengono pubblicate quotidianamente, nei giorni lavorativi statunitensi (dal lunedì al venerdì). Le definizioni vanno scaricate dal sito Web di Symantec Security Response e installate manualmente. Per determinare se le definizioni per questa minaccia sono disponibili tramite Intelligent Updater, consultare Virus Definitions (Intelligent Updater).
  
  Le Definizioni dei virus Intelligent Updater sono disponibili.
  Per istruzioni dettagliate leggere Come aggiornare i file delle definizioni dei virus mediante Intelligent Updater.

1. Avviare il programma antivirus Symantec in uso, quindi controllare che sia configurato per eseguire la scansione di tutti i file.
   • Per i prodotti consumer Norton AntiVirus: leggere il documento Come configurare Norton AntiVirus per effettuare una scansione di tutti i file.
   • Per i prodotti enterprise Symantec AntiVirus: leggere il documento Come verificare che il prodotto antivirus Symantec corporate sia impostato per eseguire la scansione di tutti i file
2. Eseguire una scansione completa del sistema.
3. Se vengono rilevati file infettati con W32.Mimail.A@mm, fare clic su Elimina.

1. Fare clic su Start, quindi fare clic su Esegui. Viene visualizzata la finestra di dialogo Esegui.
2. Digitare regedit
   
   Quindi fare clic su OK. Viene aperto l'Editor del registro di sistema.
   
   
3. Accedere alla chiave:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   
4. Nel riquadro a destra eliminare il valore:
   
   "VideoDriver"="%Windir%\videodrv.exe"
   
   
5. Uscire dall'Editor del registro di sistema.

Revisioni:

• 06.08.03: Aggiunte informazioni riguardo alla funzionalità di distribuzione di massa.
• 04.08.03: Aggiunti riferimenti CVE.
• 02.08.03: Aggiunte informazioni sulla cattura del testo da alcune finestre e sull'invio di queste informazioni a indirizzi e-mail specifici contenuti nel worm.