URL: http://www.olympos.org/article/articleprint/1125/-1/8/virus_w32_mimail_mm

[VIRUS] W32/Mimail.MM
Google
Ana sayfa Haberler Virüs Haberleri

Yazar: Ertan Kurt

Yayınlanma tarihi: 04.08.2003 14:40

W32/Mimail.MM eposta ile yayılan bir solucan. Ekte bir zip dosyası ile geliyor. Zip dosyasının içinde, gömülü (embed) bir çalıştırılabilir dosya ve betik (script) ile geliyor. Kullanıcılar zip'i açtığında, dosyalar IE tarafından korunan "Temporary Internet Files" klasörüne açılıyor. Fakat kullanıcılar zip içerisindeki HTML'e çift tıkladığında dosyalar kullanıcının "temp" klasörüne yerleştiriliyor. Burdaki dosyalar "Temporary Internet Files" klasöründen farklı olarak "Local Computer Zone" alanında çalışıyor.

Virüs Karakteristikleri:
Diğer isimleri:
Mimail (F-Secure)
W32.Mimail.A@mm (Symantec)
WORM_MIMAIL.A (Trend)

Virüs eposta ile aşağıdaki özellikler ile geliyor: 

From: Admin (ADMIN@domain_isminiz)
Subject: your account %user%
Importance: High

Hello there,

I would like to inform you about important information 
regarding your email address. This email address will be 
expiring. Please read attachment for details. 

--- Best regards, Administrator 

Attachment: message.zip


Ekteki .zip dosyası MESSAGE.HTM isminde bir dosya içeriyor. Bu dosya foo.exe dosyasını otomatik olarak yaratmakiçin MS02-015 ve MS03-014'de duyurulan açıkları kullanıyor.
Not: Otomatik çalıştırmanın engellenmesi için MS03-014 yamasının geçilmesi gerekiyor.

Aşağıdaki dosyalar WINDOWS (%WinDir%) klasöründe yaratılıyor:
* videodrv.exe (19,824 byte)
* exe.tmp (20,445 byte)
* zip.tmp (20,567 byte)

Aşağıdaki Registry anahtarı solucanın açılışta otomatik olarak başlaması için ekleniyor:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "VideoDriver" = C:\WINNT\videodrv.exe

Virüs ilk olarak makinenin Internet'e bağlı olup olmadığını google.com'a bağlanmaya çalışarak deniyor. Eğer bağlantı varsa virüs yerel sistemdeki eposta adreslerini topluyor. Aşağıdaki uzantılar hariç tüm dosyalardan eposta adresi toplamaya çalışıyor:
* avi
* bmp
* cab
* com
* dll
* exe
* gif
* jpg
* mp3
* mpg
* ocx
* pdf
* psd
* rar
* tif
* vxd
* wav
* zip

Bulunan adresler WINDOWS klasöründe eml.tmp dosyasında depolanıyor.

Semptomlar:
WINDOWS klasöründe aşağıdaki dosyaların varlığı:
* videodrv.exe
* eml.tmp
* exe.tmp
* zip.tmp

Çözüm:
Microsoft yamaları:
MS02-015
MS03-014

Stinger:
http://vil.nai.com/vil/stinger/

Manuel Temizleme İşlemleri:
1) Win9x/ME - Sistemi Güvenli Kip'te (Safe Mode) açın (Starting Windows yazısı çıktığında F8'e basıp Safe Mode'u seçin).
WinNT/2K/XP - videodrv.exe işlemini sonlandırın.
2) WINDOWS klasöründen (genelde c:\windows veya c:\winnt) aşağıdaki dosyaları silin:
* videodrv.exe
* eml.tmp
* exe.tmp
* zip.tmp
3) Registry'de aşağıdaki değişiklikleri yapın:
* VideoDriver değerini aşağıdaki kayıtlardan silin:
1. "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
2. "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
* "{11111111-1111-1111-1111-111111111111}" değerini aşağıdaki kayıttan silin:
1. "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution units"
4) Sistemi tekrar başlatın (reboot)

Kaynak: http://vil.nai.com/vil/content/v_100523.htm

Alıcının eposta adresi:

*

Eposta adresiniz:

*



| Normal sayfa görünümüne dönüş | Bu makaleyi arkadaşına gönder |