Wieder verteilt sich eine neue Variante des Virus/Wurm W32/Mimail-J im Internet!

Name: W32/Mimail in den Varianten C, E, F, H, I und ab 18. November 2003 Variante 'J'
Verteilung: per E-Mail als Dateianlage

Kurzbeschreibung:
Der W32/Mimail-I Wurm verbreitet sich per E-Mail. Dabei nutzt der Wurm die Adressen, die er auf der Festplatte des betroffenen Rechners findet. Die Adressen werden in einer Datei mit der Bezeichnung : ee98af.tmp
gespeichert und im Windows-Verzeichnis abgelegt.

Der Wurm aktiviert sich automatisch nach einem Rechnerstart nachdem er sich in die Datei svchost32.exe kopiert und im Windows-Verzeichnis ablegt. Zusätzlich fügt er den Eintrag:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run SvcHost32 = [WINDIR]\svchost32.exe

in der Registrierungsdatei hinzu.

Der Wurm erstellt auch die Dateien c:\pp.gif und c:\pp.hta . Das GIF ist ein Paypal-Logo, um den Angriff legal erscheinen zu lassen, und das hta ist eine HTML-Anwendung, die vortäuscht, ein Konto-Updateformular von Paypal zu sein. Dieses Formular wird jedes mal gezeigt, wenn der Wurm gestartet wird. Es erfolgt die Aufforderung die Kreditkartennummer, die PIN, das Auslaufdatum und auch der sogenannte CVV-Code einzugeben.
Alle persönlichen Daten, die in diesem Formular eingegeben werden, werden in eine Datei gespeichert, die c:\ppinfo.sys genannt wird. Zusätzlich kann eine leere Datei unter dem Namen c:\cansend.sys angelegt werden. Der Wurm fragt aber noch weitere persönliche Daten ab, wie z.B. die Sozialversicherungsnummer und den Mädchennamen der Mutter.

Vorausgesetzt der Wurm erhält eine Internetverbindung, (er überprüft, ob er www.akamai.com erreichen kann), versucht der Wurm die Kontoinformationen Paypal (einschließlich Kreditkarteninformationen) zu versenden.

Achtung:
Da die Herkunft einer Mail ganz einfach gefälscht werden kann, reagieren Sie niemals auf Weblinks oder Mail-Anlagen deren Absenderadressen angeblich von Banken, Sparkassen oder Kreditkartenunternehmen stammen!


Mailinhalt:

Betreffzeile:IMPORTANT

Mailtext:
Dear PayPal member,
We regret to inform you that your account is about to be expired in next five
business days. To avoid suspension of your account you have to reactivate it by
providing us with your personal information.
To update your personal profile and continue using PayPal services you have to
run the attached application to this email. Just run it and follow the
instructions.
IMPORTANT! If you ignore this alert, your account will be suspended in next
five business days and you will not be able to use PayPal anymore.
Thank you for using PayPal.

Mailanlage: www.paypal.com.pif

Löschen Sie diese Mail sofort, falls Sie obenstehende Betreffzeile oder den Mailtext lesen. Öffnen Sie auf keinen Fall die Mailanlage!

Wie schützen Sie sich:
Führen Sie bitte dringend ein NVC-Update aus, sofern Sie noch nicht auf dem neuesten Stand sind.
Öffnen sie keine Mailanlagen von Mails, deren Absender Sie nicht kennen, oder deren Mailtext Ihnen eigenartig vorkommt!

Auf unserer Internetseite https://www.promus.de/virenmain.htm klicken Sie oben auf den Button 'Beschreibung deutsch'. Dort finden Sie weitere Beschreibungen zu diesem Virus.