En las últimas horas se ha detectado envíos masivos de «Mimail», un
gusano que explota una vulnerabilidad de Outlook Express para infectar
a los equipos desde un aparentemente inofensivo archivo .HTM.
El gusano se presenta por e-mail simulando ser un mensaje enviado por
el administrador de nuestro servidor de correo, por lo que modifica
el remite para que aparezca el nombre «admin» y el dominio que utiliza
el usuario:
Remite: admin@
Asunto: your account
Cuerpo:
Hello there,
I would like to inform you about important information regarding your
email address. This email address will be expiring. Please read
attachment for details.
Best regards,
Administrator
Adjunto: Message.zip
Si la víctima abre el adjunto comprimido «Message.zip» podrá ver que
contiene el archivo «MESSAGE.HTM», aparentemente una inofensiva página
web en formato HTML. Si embargo si intenta visualizar este archivo
lanzará la acción del gusano, esa página web aprovecha una
vulnerabilidad existente en Outlook Express para instalar su código
malicioso, creando y ejecutando el archivo «foo.exe» en la carpeta
de archivos temporales de Internet.
Este ejecutable crea los siguientes archivos en la carpeta de Windows:
videodrv.exe
exe.tmp
zip.tmp
Además introduce la siguiente entrada en el registro de Windows para
asegurar la ejecución del gusano cada vez que se inicie el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
«VideoDriver»=»%Windir%\videodrv.exe»
Una vez se instala en el sistema del usuario comienza su rutina de
propagación a otros usuarios. En primer lugar comprueba si el sistema
está conectado a Internet, intentando establecer conexión con la
página google.com. Si realiza la conexión, busca direcciones de correo
entre los archivos que encuentra en el sistema, buscando en aquellos
archivos que *no* tienen alguna de estas extensiones:
.avi .bmp .cab .com .dll .exe .gif .jpg .mp3 .mpg .ocx .pdf .psd .rar
.tif .vxd .wav .zip
Las direcciones recolectadas son almacenadas en el archivo eml.tmp
dentro de la carpeta de Windows y les envía e-mails infectados con
el gusano, con las mismas características que comentamos al principio.
Adicionalmente introduce la siguiente entrada en el registro de
Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\
Distribution Units\{11111111-1111-1111-1111-111111111111}
Existe un parche de Microsoft desde abril de 2003 para corregir
esta vulnerabilidad, e impedir así la ejecución automática de este
gusano al visualizar el archivo .htm. Los detalles en el una-al-día
(http://www.hispasec.com/unaaldia/1643).
En el caso de infección, los pasos para eliminar el gusano de un
sistema son sencillos:
– En Win9x/ME iniciar el sistema en Modo Seguro (puede seleccionarse
pulsando F8 al iniciar el sistema).
– En WinNT/2000/XP terminar el proceso videodrv.exe (desde el
administrador de tareas, pestaña proceso).
– Borrar los siguientes archivos de la carpeta de Windows
(típicamente c:\windows o c:\winnt):
videodrv.exe, eml.tmp, exe.tmp, zip.tmp
– Borrar las siguientes entradas del registro de Windows
(regedit.exe):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
VideoDriver
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
VideoDriver
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\
Distribution Units\{11111111-1111-1111-1111-111111111111}
Desde Hispasec recomendamos a los usuarios tener sus equipos
puntualmente actualizados desde la opción Windows Update y estar
atentos a los mensajes que puedan llegarles con las características
descritas. A los administradores, además de intentar mantener
actualizado su parque, podrán minimizar el impacto del gusano con
simples reglas en el servidor de correo (aprovechando que utiliza
cadenas fijas en muchos campos del mensaje). Por descontado,
también habrá que mantener puntualmente actualizadas las soluciones
antivirus.
bernardo@hispasec.com
Más información:
25/04/2003 – Actualización acumulativa para Outlook Express
http://www.hispasec.com/unaaldia/1643
W32.Mimail.A@mm
http://www.sarc.com/avcenter/venc/data/w32.mimail.a@mm.html
W32/Mimail@MM
http://vil.nai.com/vil/content/v_100523.htm
WORM_MIMAIL.A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.A
Deja una respuesta