Más variantes del virus Mimail con el logo de PayPal

l mensaje enviado por el gusano está marcado como de alta prioridad y posee estas características (después del asunto, hay varios caracteres vacíos y luego otros al azar, representados por [xxxx]):

De: Do_Not_Reply@paypal.com
Asunto: Asunto: IMPORTANT [xxxx]

Texto:

Dear PayPal member,

We regret to inform you that your account is about
to be expired in next five business days. To avoid
suspension of your account you have to reactivate
it by providing us with your personal information.

To update your personal profile and continue using
PayPal services you have to run the attached
application to this email. Just run it and follow
the instructions.

IMPORTANT! If you ignore this alert, your account
will be suspended in next five business days and
you will not be able to use PayPal anymore.

Thank you for using PayPal.

Datos adjuntos: [uno de los siguientes]

infoupdate.exe
www.paypal.com.pif

La segunda extensión queda oculta en una instalación por defecto de Windows (ver en las referencias "Mostrar las extensiones verdaderas de los archivos").

Si se hace doble clic sobre el adjunto, el gusano se ejecuta y se produce la infección.

Cuando ello sucede, se muestra una ventana que simula ser una página de Paypal, donde se le solicita al usuario el ingreso de la información de su tarjeta:

Título de la ventana: PayPal Secure Application

El formulario solicita la siguiente información en la primer pantalla:

Credit Card Number
PIN
CVV Code
Expire date

El código CVV es un código adicional de tres dígitos impreso en el reverso de la tarjeta, que no es registrado durante las transacciones.

Si todos los campos son llenados, y el usuario pincha en el botón [NEXT >], el gusano despliega una segunda pantalla, donde se solicitan datos como nombres, fecha de nascimiento, país, etc.

Esta pantalla no aparecía en la versión "I" del gusano.

Nota: Si aparece cualquiera de estas pantallas, no pulse en los botones que se muestran, y para cerrar la ventana, pulse las teclas CONTROL+F4.

La información obtenida es guardada en un archivo llamado PPINFO.SYS, ubicado en la carpeta de Windows del equipo infectado, para luego ser enviada a determinadas direcciones.

NOTA: Recuerde que prácticamente es una norma general, que NINGUNA institución responsable le enviará un correo electrónico solicitándole el ingreso de alguna clase de datos, que usted no haya concertado previamente, y mucho menos datos privados tan sensibles como estos.

Luego de ejecutarse, el gusano se copia a si mismo en la siguiente ubicación:

c:windowssvchost32.exe

También crea los siguientes archivos:

c:cansend.sys
c:index2.hta
c:pp.gif
c:pp.hta
c:ppinfo.sys
c:windowsee98af.tmp
c:windowsel388.tmp
c:windowszp3891.tmp

NOTA: La carpeta "c:windows" puede variar de acuerdo al sistema operativo instalado ("c:winnt" en NT, "c:windows", en 9x, Me, XP, etc.).

PP.GIF, PP.HTA e INDEX2.HTA, contienen la imagen (logo de Paypal) y el código HTML para las falsas ventanas ya descriptas, con el título "PayPal Secure Application".

PPINFO.SYS, como ya dijimos, almacena la información robada con los datos de la tarjeta de crédito del usuario.

EL388.TMP contendrá las direcciones de correo a las que se enviará al propagarse en forma masiva.

El gusano modifica luego la siguiente entrada en el registro para ejecutarse en cada reinicio:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SvcHost32 = c:windowssvchost32.exe

El gusano se registra a si mismo como un servicio en Windows 95, 98 y Me, quedando oculto en la lista de tareas (CTRL+ALT+SUPR).

Cada vez que se ejecuta, el gusano examina si existe una conexión activa a Internet intentando conectarse a www.akamai.com. Si existe la conexión, el gusano inicia tres hilos de ejecución simultáneos para enviar mensajes y propagarse a si mismo.

Primero examina si existe PPINFO.SYS (que contiene la información robada al usuario). En caso de existir, intenta enviar este archivo a varias direcciones incluidas en su código (podrían ser más direcciones):

kaspersky@mail15.com
ekaspersky@mail15.com
admin@kaspersky.cjb.net

Al mismo tiempo, para propagarse, busca las direcciones de correo a las que se enviará, en archivos de diferentes carpetas de la máquina infectada. Para ello examina todos los archivos que NO tengan las siguientes extensiones:

.avi .bmp .cab .com .dll .exe .gif .jpg .mp3 .mpg .ocx .pdf .psd .rar .tif .vxd .wav .zip

Estas direcciones serán almacenadas en el archivo EL388.TMP.

Para el envío de los mensajes, emplea su propio motor SMTP, por lo que no depende del programa de correo instalado.

La rutina de envío, es procesada luego de una hora, tiempo en el que el gusano permanece en estado latente.

El gusano no examina si ya está instalado en memoria, motivo por el cuál podrían ejecutarse varios simultáneamente. En ese caso el usuario notaría una degradación en el rendimiento del equipo.