■ Win32/Mimail.L
Win32/Mimail.L は、電子メールの添付ファイルで拡散するワームです。UPXユーティリティで圧縮されたワームのサイズは11,296バイトです。解凍するとサイズは、490KBになります。このワームはWindows95以降のWindowsオペレーティングシステム上で動作します。
注意:
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを
%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
このワームは、Re[2]: という題名のメッセージ(メール)として広がります。メールの本文には以下のテキストがあります。
Hi Greg its Wendy.
I was shocked, when I found out that it wasn't you but
your twin brother!!!
That's amazing, you're as like as two peas. No one in bed
is better than you Greg.
I remember, I remember everything very well, that promised
you to tell how it was,
I'llAgive you a call today after 9.
He took my skirt off, then my panties, then my bra, he
sucked my tits,
with the same fury you do it. He was writing alphabet on
my pussy for 20 minutes,
then suddenly stopped, put me in doggy style position and
stuck his dagger.
But Greg, why didn't you warn me that his dick is 15 inches
long???? I was struck,
we fucked whole night.
I'm so thankful to you, for acquainted me to your brother.
I think we can do it
on $0D$0Athe next Saturday all three together? What do
you think? O yes,
$0D$0Aas you wanted I've made a few pictures check them
out in archive,
I hope they will excite you, and you will dream of our
new meeting...
Wendy.
メールの添付ファイル名は、wendy.zip であり、サイズは 11,446バイトです。この添付ファイルの中に、Win32/Mimail.L
ワームである for_greg_with_love.jpg.exe
が含まれています。このワームが実行されると、次のテキストを本文にもつメールを送信しようとします。
Good afternoon, We are going to bill your credit card
for amount of $22.95
on a weekly basis. Free pack of child porn CDs is already
on the way to
your billing address. If you want to cancel membership
and your CD pack
please email order and credit card details to security@europe.spamhaus.org.
Are you ready for all types of underage porn? We have the
best selection
for every taste!
Just click the secret links below and have fun:
http://www.spamhaus.org
http://www.spews.org
http://www.register.com
http://www.cardcops.com
http://www.carderplanet.net
http://www.spamcop.net
http://disney.go.com
http://www.authorizenet.com
Nude boys under 16! Nude girls under
16! Incest, a daddy & a
daughter!
We have everything you have ever dreamed for!
ワームが実行されると、%windir% ディレクトリにそのコピーを
svchost.exe および xu39reu.tmp というファイル名で作成します。
どちらもサイズは 11,296バイトです。同時に、同じディレクトリに
x8wui12s.tmp というファイルを作成します。このファイルは、wendy.zip と
同一です。
このワームは、システムレジストリキー
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
の France という項目に、%windir%\svchost.exe を設定して
オペレーティングシステムの再起動後にワームをコピーする活動を開始します。
このワームは、電子メールを経由して感染を広めるために、以下の拡張子を持つファイルを除き、ハードディスク上にあるインターネットからダウンロードされたファイルおよび一時に保存されたファイルからメールアドレスを取得します。
bmp
jpg
gif
exe
dll
avi
mpg
mp3
vxd
ocx
psd
tif
zip
rar
pdf
cab
wav
com
Win32/Mimail.J は、発見したメールアドレスを %windir%\xu298da.tmp に保存して、そのアドレスにワームのコピーを送信します。また、Win32/Mimail.L
は、以下のアドレスに対して、DoS(サービス拒否)攻撃を
試みます。
www.spamhaus.org
www.spews.org
www.register.com
www.cardcops.com
www.carderplanet.net
www.spamcop.net
disney.go.com
www.authorizenet.com
ワームのコードの中に以下のテキストがあります。
*** Made in France. ***
