В Интернете зарегистированы многочисленные случаи заражения вредоносной программой Mimail, сообщает "Лаборатория Касперского". Интернет-червь Mimail распространяется во вложенных файлах электронных писем. Зараженные письма содержат вложенный файл с расширением .zip, фальсифицированный адрес отправителя, что затрудняет поиск источника заражения, и выглядят следующим образом:
Узнайте больше в полной версии ➞Тема: your account [rnd]
Текст:
Hello there,
I would like to inform you about important information regarding your email address. This email address will be expiring.
Please read attachment for details.
---
Best regards, Administrator
Подобно червям Klez и Lentin (Yaha), Mimail проникает на компьютеры, используя бреши в системе безопасности браузера Internet Explorer. Вложенный архив message.zip содержит файл message.html. В случае открытия файла встроенный Java-скрипт через брешь Exploit.SelfExecHTML незаметно записывает на диск и запускает файл-носитель червя foo.exe. foo.exe копирует себя в директорию Windows под именем videodrv.exe и регистрируется в секции автозапуска системного реестра для обеспечения запуска червя при каждой загрузке операционной системы. Помимо этого, Mimail создает ряд дополнительных файлов в директории Windows: exe.tmp - червь в файле формате HTML; zip.tmp - червь в ZIP-архиве.
Для дальнейшего распространения по почте Mimail сканирует отдельные директории на локальном диске и извлекает из них строки, содержащие электронные адреса. Собранные данные записываются в файл eml.tmp в директории Windows, после чего червь, используя прямое подключение к почтовому серверу, незаметно рассылает по обнаруженным адресам свои копии.
"Широкое распространение Mimail заставляет нас еще раз напомнить пользователям, что вредоносные программы могут содержаться не только в EXE-файлах. Перед запуском необходимо проверять на вирусы любые файлы, полученные из Интернета", - прокомментировал распространение Mimail Евгений Касперский. При этом он отмечает, что сам Mimail практически безобиден: "Опасность заключается в популяризации описанной бреши Internet Explorer, так что примеру автора этого червя могут последовать другие вирусописатели"
С определенной степенью уверенности можно говорить, что Mimail - дело рук российских вирусописателей. Червь использует технологии и реализацию, практически идентичные примененным в троянской программе StartPage, которая однозначно имеет российское происхождение.