| Alias-Namen: W32.Mimail.A@mm, W32/Mimail@MM, Mimail, Win32.Mimail.A, W32/Mimail-A, I-Worm.Mimail Virentyp: EXE-Wurm (Ursprung Russland) Verbreitung: per E-Mail als Dateianhang "message.zip"
Betreff/Subject (bei E-Mail): your account - und dahinter der Username. Die Absender - Mailadresse setzt sich aus admin@<Domainname des Emfpängers> zusammen. Das der Absender gefälscht ist, dürfte klar sein.
Mailtext: Hello there, I would like to inform you about important information
regarding your email address. This email address will be expiring.
Please read attachment for details.--- Best regards, Administrator Erkennbare Anzeichen einer Infektion: Existenz der Dateien "videodrv.exe", "exe.tmp" im Verzeichnis c:\windows\ Bekannte Schäden: Die der Mail angehängte ZIP-Datei enthält wiederum eine Datei "message.html", die viele Anwender für harmlos einstufen könnten, da es sich um keine ausführbare Datei in dem Sinne handelt (z.B. EXE). Daher ist scheinbar auch eine recht hohe Verbreitung zu beobachten. Jedoch nutzt genau diese Datei zwei bekannte Sicherheitslücken "Codebase Exploit und MHTML Exploit . Daraus entsteht die Datei "foo.exe", die dafür Sorge trägt, dass die Dateien "videodrv.exe", "exe.tmp" und "zip.tmp" im Windows Ordner angelegt werden.
Verbreitet sich selber über eigene SMTP-Routine per E-Mail weiter. Dazu sucht der Wurm auf dem lokalen System nach Mailadressen in vorhanden Dateien. Autorun-Eintrag zwecks erneutem Start bei Windowsstart in der Registry unter: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\VideoDriver
=C:\<Windows>\videodrv.exe
Lokale Schäden (z.B. Datenverluste) sind bisher nicht bekannt. Gegenmittel: als kostenloses Removal Tool bei uns erhältlich Informationen Englisch: TrendMicro | BitDefender | McAfee | Symantec | CAI | Norman | F-Secure | Alwil | Kaspersky | Informationen Deutsch: Sophos | |