Mimail
PeligrosidadDañoPropagación

Efectos 

Mimail no tiene efectos destructivos. Su único objetivo es propagarse y extender su infección a otros ordenadores.

Metodo de Infección 

Mimail crea los siguientes ficheros en el directorio  de Windows:

• VIDEODRV.EXE. Este fichero contiene el código del gusano.
• ZIP.TMP. Este fichero es una copia del fichero adjunto, comprimido en formato ZIP.
• EXE.TMP. Este fichero es una copia del fichero HTML  incluido en el fichero adjunto del mensaje.
• EML.TMP. Este fichero contiene las direcciones de correo electrónico que el gusano ha conseguido recopilar.

Mimail crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  VideoDriver = %windir%\videodrv.exe
  De este modo, consigue ejecutarse cada vez que se inicie Windows.
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Code Store Database\ Distribution Units\ {11111111-1111-1111-111111111111}
  A través de esta entrada, el gusano consigue realizar sus acciones.

Mimail realiza el siguiente proceso de infección:

• El proceso comienza cuando el usuario descomprime el fichero adjunto y ejecuta el fichero HTML incluido en el mismo.
• El gusano aprovecha las vulnerabilidades Internet zone del navegador Internet Explorer y MHTML de Outlook Express. Dichas vulnerabilidades permiten ejecutar código en la zona local del ordenador afectado.
• De esta forma, el gusano crea en las carpetas temporales de Internet un fichero, que ejecutará para poder llevar a cabo sus acciones.

Método de Propagación 

Mimail se propaga a través del correo electrónico. Mimail llega en un mensaje de correo con las siguientes características:

• Remitente:
  admin@%dominio%
  %dominio% es el dominio de la dirección de correo electrónico del receptor.
• Asunto:
  Your account xxxxxxx
  xxxxxxx es una secuencia aleatoria de letras en minúscula.
• Contenido:
  Hello there,
  I would like to inform you about important information regarding your email address. This email address will be expiring.
  Please read attachment for details.
  ---
  Best regards, Administrator
  xxxxxxxx
• Fichero adjunto:
  MESSAGE.ZIP
• Además, el mensaje incluye la marca de importancia alta.

Mimail busca direcciones de correo electrónico a las que enviarse por sí mismo a través de su propio motor SMTP:

• Busca en el directorio Archivos de programa, así como en las carpetas incluidas en la siguiente entrada del Registro de Windows:
  HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Shell Folders
  A esta entrada de registro están asociadas carpetas como Mis Documentos, el Escritorio de Windows, etc.
• En dichos directorios, busca direcciones de correo en todos los ficheros que no posean las siguientes extensiones: COM, WAV, CAB, PDF, RAR, ZIP, TIF, PSD, OCX, VXD, MP3, MPG, AVI, DLL, EXE, GIF, JPG y BMP.