Mimail.C
PeligrosidadDañoPropagación

Efectos 

Mimail.C produce los siguientes efectos:

• Una vez ejecutado, permanece residente en memoria.
• Realiza ataques de tipo DoS (Denegación de Servicio) contra servidores web.

Metodo de Infección 

Mimail.C crea los siguientes ficheros en el directorio de Windows:

• EXE.TMP y NETWATCH.EXE. Estos archivos son copias del gusano.
• ZIP.TMP. Este archivo es una copia del gusano, y se encuentra comprimido con Winzip.
• EML.TMP. Este archivo contiene las direcciones de correo que Mimail.C se enviará a sí mismo.

Mimail.C crea la siguiente entrada en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  "NetWatch32" = %windir%\netwatch.exe
  donde %windir% es el directorio de Windows.
  Con ello, Mimail.C consigue ejecutarse cada vez que se inicie Windows.

Método de Propagación 

Mimail.C se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:

• Llega al ordenador en un mensaje con las siguientes características:
  
  Remitente:
  james@%domain%
  donde %domain% es el dominio de correo electrónico del destinatario.
  
  Asunto:
  Re[2]: our private photos%text%
  donde %text% es un texto con 8 caracteres aleatorios.
  
  Contenido:
  Hello Dear!,
  Finally i've found possibility to right u, my lovely girl :)
  All our photos which i've made at the beach (even when u're without ur bh:))
  photos are great! This evening i'll come and we'll make the best SEX :)
  Right now enjoy the photos.
  Kiss, James.
  %text%
  
  Archivo adjunto:
  PHOTOS.ZIP
• El archivo adjunto está comprimido con Winzip. Cuando es descomprimido, crea un archivo con doble extensión, cuyo nombre es PHOTOS.JPG.EXE. Una vez ejecutado, el ordenador quedará afectado.
• Busca direcciones de correo en todos los archivos del ordenador que no posean las siguientes extensiones: COM, WAV, CAB, PDF, RAR, ZIP, TIF, PSD, OCX, VXD, MP3, MPG, AVI, DLL, EXE, GIF, JPG y BMP. Guarda estas direcciones en el archivo EML.TMP.
• Se envía a sí mismo a todas las direcciones que encuentra, utilizando su propio motor SMTP. Se conecta a la dirección IP 212.5.86.163, que corresponde a un servidor de correo ruso.

Otros Detalles  

Mimail.C está escrito en el lenguaje de programación C con el compilador LCC Win32. Este gusano tiene un tamaño de 12832 Bytes cuando se encuentra comprimido mediante UPX, y de 28140 Bytes una vez descomprimido.

A diferencia de otras variantes de Mimail, Mimail.C no aprovecha de las vulnerabilidades Codebase y MHTML.

Los mensajes se envían con la siguiente cabecera:

X-Mailer: The Bat! (v 1.62)
X-Priority: 1 (High)