En las últimas horas hemos podido observar desde Hispasec un aumento
significativo en los reportes de las nuevas versiones “I” y “J” del
gusano Mimail. Simulando ser un mensaje del servicio PayPal, estas
nuevas versiones solicitan al usuario datos sensibles sobre su tarjeta
de crédito. Afortunadamente es muy fácil reconocer la llegada de estos
gusanos a simple vista, ya que se distribuyen en un e-mail con el
mismo remite y asunto.
El uso de textos fijos en los campos de remitente y asunto, sin duda,
facilitará el reconocimiento a los usuarios y la tarea a los
administradores de servidores de correo que cuenten con filtros y
sistemas anti-spam. Los textos a tener en cuenta para detectar a
Mimail.I y Mimail.J son:
Remite: donotreply@paypal.com
Asunto: YOUR PAYPAL.COM ACCOUNT EXPIRES
Remite: Do_Not_Reply@paypal.com
Asunto: IMPORTANT
El cuerpo del mensaje, en inglés, solicita que debemos actualizar la
información de nuestra cuenta en PayPal o de lo contrario expirará
pasados 5 días. Para llevar a cabo el proceso de actualización, nos
pide que ejecutemos los archivos adjuntos al e-mail, que en realidad
contienen el código del gusano.
Los archivos adjuntos pueden tener los siguientes nombres:
www.paypal.com.scr
paypal.asp.scr
www.paypal.com.pif
InfoUpdate.exe
Si el usuario ejecuta el archivo adjunto el gusano infectará su
equipo, y mostrará un formulario con el logotipo de PayPal que
solicita datos sensibles de la cuenta, como número de tarjeta de
crédito, PIN, código CVV (3 dígitos de comprobación que suelen
aparecer en el reverso de la tarjeta de crédito) y fecha de
expiración.
En el caso de Mimail.J, y a diferencia de Mimail.I, una vez rellenado
ese formulario aparecerá un segundo requiriendo datos personales,
como nombre y apellidos, fecha de nacimiento, domicilio, número de
la seguridad social, etc.
Los datos que el usuario introduzca en esos formularios serán
almacenados en el archivo C:\ppinfo.sys. Posteriormente este archivo,
que contiene los datos sensibles de la tarjeta de crédito, será
enviado a diferentes cuentas de correo que definió el creador del
virus.
El gusano se instala en la carpeta de Windows bajo el nombre de
svchost32.exe y, como suele ser habitual en estos especímenes, añade
una entrada a la clave RUN del registro de Windows para asegurarse
su ejecución en cada inicio del sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
“SvcHost32” = [directorio de windows]\svchost32.exe
Antes de comenzar los envíos, tanto de propagación a otros usuarios
como de los datos recolectados a la cuenta del creador del virus,
el gusano comprueba si el sistema está conectado a Internet
intentando resolver el dominio www.akamai.com.
El gusano busca direcciones de correo dentro de todos los archivos
que encuentra en el sistema infectado, ignorando los archivos con
algunas de estas extensiones: avi, bmp, cab, com, dll, exe, gif,
jpg, mp3, mpg, ocx, pdf, psd, rar, tif, vxd, wav, zip. A las
direcciones encontradas les enviará el mismo mensaje con el gusano
adjunto, tal y como describimos al principio.
Adicionalmente el gusano puede escribir en el sistema otros archivos
que utiliza en los diferentes procesos, a continuación un listado
resumen:
c:\cansend.sys
c:\pp.gif (icono de paypal)
c:\pp.hta (interfaz de los formularios)
c:\ppinfo.sys (datos recopilados de la tarjeta de crédito)
[directorio de Windows]\ee98af.tmp (copia del gusano)
[directorio de Windows]\el388.tmp (direcciones e-mail)
[directorio de Windows]\svchost32.exe (copia del gusano)
[directorio de Windows]\zp3891.tmp
En el momento de escribir esta nota hay algunos antivirus que aun
no reconocen la versión de Mimail.J, si bien esperamos que en
cuestión de horas se encuentren disponibles las actualizaciones
para todos los productos.
En cualquier caso. desde Hispasec, esperamos que la incidencia de
infecciones reales causadas por estos gusanos (no confundir con
número de mensajes detectados) sea baja en países de habla hispana,
dado que el uso del servicio PayPal está más extendido en otros
países, además de que los textos con los que el propio gusano
intenta engañar a los usuarios están en inglés.
bernardo@hispasec.com
Deja un comentario