[SECURITY-L] Trend Micro em alerta amarelo para vXrus Mimail.C

Security Team - UNICAMP security em unicamp.br
Seg Nov 3 11:03:53 -02 2003 

----- Forwarded message from Caio Souza Mendes <caio_sm em yahoo.com.br> -----

From: Caio Souza Mendes <caio_sm em yahoo.com.br>
Subject: Trend Micro em alerta amarelo para vXrus Mimail.C
To: security em unicamp.br
Date: Fri, 31 Oct 2003 16:24:14 -0300 (ART)

Trend Micro em alerta amarelo para vírus Mimail.C
 
CSO

http://www.csoonline.com.br/AdPortalV3/adCmsDocumentoShow.aspx?documento=25244&Area=1

A Trend Micro, especializada em antivírus corporativo,
acaba de emitir alerta para uma nova versão do worm
MIMAIL, ameaça de médio risco que está se propagando
via Internet. O vírus atinge as plataformas Windows
95, 98, NT, 2000, ME e XP.

As características da mensagem contaminada são:

Para: admin@???
Assunto: Re[2]: our private photos ???
Corpo da mensagem:
Hello Dear!,
Finally i've found possibility to right u, my lovely
girl :) All our photos which i've made at the beach
(even when u're without ur bh:)) photos are great!
This evening i'll come and we'll make the best SEX :)
Right now enjoy the photos.

Kiss, James.
Atachado: "photos.zip"

O vírus utiliza seu próprio sistema Simple Mail
Transfer Protocol (SMTP) para se auto enviar e após
sua execução este worm memory-resident faz uma cópia
de si próprio como NETWATCH.EXE, na pasta do Windows.
Em seguida ele cria entradas no sistema, que são
executadas a cada reinício do computador. Ele também
cria os seguintes arquivos no diretório do Windows:

* EML.TMP
* ZIP.TMP
* EXE.TMP

O MIMAIL.C vem em um arquivo .ZIP anexo que contém um
arquivo HTML e um UPX Win32 EXE. Quando o arquivo
.HTML é aberto, o código malicioso é executado e o
vírus começa a explorar uma vulnerabilidade do
Internet Explorer.

Essa nova ameaça utiliza recursos de engenharia social
para convencer o internauta a abrir o arquivo
contaminado e também se aproveita de uma
vulnerabilidade conhecida do Internet Explorer. As
chances de propagação, segundo a Trend Micro, são
bastante altas.
Data: 31/10/2003

Yahoo! Mail - o melhor webmail do Brasil
http://mail.yahoo.com.br

----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L