alerta al mercado sobre el descubrimiento de una nueva amenaza

Características
De origen desconocido y descubierto el 31/10/03, W32/Mimail.c@MM es detectado como un gusano de correo masivo escrito en MSVC. Las muestras recibidas por AVERT han sido paquetes UPX. Es similar al gusano anterior, W32/Mimail@MM. Sin embargo, esta variante no usa el exploit de código base (MS02-015) y MHTML (MS03-014) como lo hacía la variante anterior.
A continuación un resumen de las características del virus:
· Contiene su propio motor SMTP para construir mensajes .
· Se auto-envía como un adjunto en formato ZIP.
· Recopila direcciones de correo electrónico desde el equipo local.
· Envía grandes volúmenes de datos (Basura) a un servidor remoto – Simulando una DoS (Denegación de Servicios).

Nota: Es importante que la opción que la exploración de archivos comprimidos este habilitada para su detección.

Propagación de Correo
Las direcciones de correo destino son recolectadas desde varios archivos del equipo infectado. Estos están escritos en el archivo EML.TMP en% WinDir%. Las pruebas muestran que el gusano es demasiado indefinido al identificar direcciones de correo validas – como resultado los mensajes probablemente serán enviados a los destinatarios no válido.

Los mensajes de salida son creados usando el propio motor SMTP del gusano. Tienen el siguiente formato:
Asunto: Re<2>: our private photos (plus additional spaces then random characters)
Adjunto: PHOTOS.ZIP (12,958 bytes) el cual contiene PHOTOS.JPG.EXE (12,832 bytes)




Cuerpo del Mensaje:
Hello Dear!,
Finally, i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're withou ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)

Right now enjoy the photos.
Kiss, James.

El mensaje está contruido con el siguiente X-headers:

X-Mailer: The Bat! (v1.62)
X-Priority: 1 (High)

La dirección “De” en los mensajes salientes puede decir james@(dominio destino.com) por ejemplo: james@nai.com

Como las variantes anteriores, el ruteo de correo busca el servidor de correo relacionado al dominio de la dirección destino (recopilada). Los mensajes son enviados a través de ese servidor SMTP. Así mismo, el gusano contiene una dirección IP (212.5.86.163)

Denegación de Servicio
Los análisis iniciales muestran que este gusano envía una gran cantidad de data (Basura?) a un servidor remoto (sobre http, puerto destino 80), simulando una denegación de servicio. Actualmente esto está siendo investigado.

Síntomas
· Existencia de archivos EXE:TMP y ZIP:TMP
· Grandes volúmenes de datos que son enviados al puerto 80 de un servidor remoto.

Método de infección
Cuando se ejecuta en el equipo infectado, el gusano se auto-instala en % WinDir% como NETWATCH.EXE. Por ejemplo:
C:\WINNT\NETWATCH.EXE (12,832 bytes)
Otros tres archivos también son dejados en % WinDir%:
· % WinDir%\EML.TMP - contiene la lista de las direcciones de correo electrónico recopiladas del equipo infectado.
· % WinDir%\EXE.TMP – Una copia del gusano
· % WinDir%\ZIP.TMP - un archivo ZIP que contiene el gusano
El virus agrega la siguiente llave de registro con la intención de ejecutar el archivo NETWATCH.EXE al iniciar el sistema.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RUN "NetWatch32" = C:\WINNT\NETWATCH.EXE





Esta nueva amenaza es considerada de Riesgo Medio para usuarios de casa el mundo.

Cualquier sospecha en cuanto a nuevos virus, pueden dirigir mensajes a virus_research@avertlabs.com, o archivos al servicio WenImmune – www.webimmune.net

McAfee® Security recomienda que los productos de antivirus sean actualizados semanalmente, además de estar configurados para la protección de archivos comprimidos (Compressed Files).