16.11.2003, 10:57
I-Worm.Mimail.I alias alias W32.Mimail-I. Wie er sich verbreitet, was er tut und wie man ihm löscht findest du hier...
I-Worm.Mimail-I ist ein Wurm, der sich über E-Mail verbreitet, wobei er gefundene eMail-Adressen von der Festplatte des betroffenen Computers als Empfänger für seine Verbreitung verwendet.
====================================================================
Die eMail hat folgendes Aussehen:
Betreffzeile: YOUR PAYPAL.COM ACCOUNT EXPIRES
Text:
Dear PayPal member,
PayPal would like to inform you about some important information regarding your PayPal account. This account, which is associated with this email address will be expiring within five business days. We apologize for any inconvenience that this may cause, but this is occurring because all of our customers are required to update their account settings with their personal information.
We are taking these actions because we are implementing a new security policy on our website to insure everyone's absolute privacy. To avoid any interruption in PayPal services then you will need to run the application that we have sent with this email (see attachment) and follow the instructions. Please do not send your personal information through email, as it will not be as secure.
IMPORTANT! If you do not update your information with our secure application within the next five business days then we will be forced to deactivate your account and you will not be able to use your PayPal account any longer. It is strongly recommended that you take a few minutes out of your busy day and complete this now.
DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This mail is sent by an automated message system and the reply will not be received.
Thank you for using PayPal.
Angehängte Datei: http://www.paypal.com.scr oder paypal.asp.scr
====================================================================
Wird der Wurm durch Doppelklick gestartet, erscheint ein Dialogfenster, das den Anwender auffordert, Kreditkarteninformationen einzugeben. Dazu gehören die Kreditkartennummer, der PIN, das Auslaufdatum und auch der sogenannte CVV-Code (dies ist ein zusätzlicher dreistelliger Sicherheitscode, der auf der Rückseite der Kreditkarte gedruckt ist und der von Kreditkarten-Terminals während einer Transaktion nicht gespeichert wird).
Dieses Dialogfenster (HTML) gibt vor das der User sich auf den Webseiten von PayPal befindet und enthält sogar ein PayPal- Logo um die Täuschung zu verwirklichen. Tatsächlich ist diese Webseite im Code des Wurmes integriert. Gibt der Empfänger seine Daten in das Formular ein so werden diese in der Datei "c:\ppinfo.sys" gespeichert und dann per E-Mail versendet.
Damit der Wurm auch nach einen Rechner-Neustart aktiv wird, legt er folgenden Registry-Eintrag an:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "SvcHost32" = C:\WINDOWS\svchost32.exe
Die Datei "svchost32.exe" unter C:\WINDOWS\ ist eine Kopie des Wurmes.
Die Empänger-Adressen an die sich der Wurm versendet werden auf dem lokalen PC gesucht, wobei folgende Dateien nicht nach eMailadressen gescannt werden:
avi
bmp
cab
com
dll
exe
gif
jpg
mp3
mpg
ocx
pdf
psd
rar
tif
vxd
wav
zip
Alle auf dem PC gefundenen E-Mail-Adressen werden in einer Datei namens el388.tmp im Windowsverzeichnis gespeichert.
Manuelle Entfernung:
1. Löschen Sie den Registry-Eintrag
2. Booten/Starten Sie den PC neu.
3. Löschen sie die folgenden Dateien des Wurmes:
c:\pp.gif (PayPal Icon)
c:\pp.hta (HTML-Seite/Formular)
c:\ppinfo.sys (Ihre Kreditkartendetails)
c:\WINDOWS\ee98af.tmp (Der Wurm selbst)
c:\WINDOWS\el388.tmp (Die gefundenen eMailadressen)
c:\WINDOWS\svchost32.exe (Der Wurm selbst)
Danach ist der PC vom I-Worm.Mimail.I wieder befreit.
Quelle
I-Worm.Mimail-I ist ein Wurm, der sich über E-Mail verbreitet, wobei er gefundene eMail-Adressen von der Festplatte des betroffenen Computers als Empfänger für seine Verbreitung verwendet.
====================================================================
Die eMail hat folgendes Aussehen:
Betreffzeile: YOUR PAYPAL.COM ACCOUNT EXPIRES
Text:
Dear PayPal member,
PayPal would like to inform you about some important information regarding your PayPal account. This account, which is associated with this email address will be expiring within five business days. We apologize for any inconvenience that this may cause, but this is occurring because all of our customers are required to update their account settings with their personal information.
We are taking these actions because we are implementing a new security policy on our website to insure everyone's absolute privacy. To avoid any interruption in PayPal services then you will need to run the application that we have sent with this email (see attachment) and follow the instructions. Please do not send your personal information through email, as it will not be as secure.
IMPORTANT! If you do not update your information with our secure application within the next five business days then we will be forced to deactivate your account and you will not be able to use your PayPal account any longer. It is strongly recommended that you take a few minutes out of your busy day and complete this now.
DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This mail is sent by an automated message system and the reply will not be received.
Thank you for using PayPal.
Angehängte Datei: http://www.paypal.com.scr oder paypal.asp.scr
====================================================================
Wird der Wurm durch Doppelklick gestartet, erscheint ein Dialogfenster, das den Anwender auffordert, Kreditkarteninformationen einzugeben. Dazu gehören die Kreditkartennummer, der PIN, das Auslaufdatum und auch der sogenannte CVV-Code (dies ist ein zusätzlicher dreistelliger Sicherheitscode, der auf der Rückseite der Kreditkarte gedruckt ist und der von Kreditkarten-Terminals während einer Transaktion nicht gespeichert wird).
Dieses Dialogfenster (HTML) gibt vor das der User sich auf den Webseiten von PayPal befindet und enthält sogar ein PayPal- Logo um die Täuschung zu verwirklichen. Tatsächlich ist diese Webseite im Code des Wurmes integriert. Gibt der Empfänger seine Daten in das Formular ein so werden diese in der Datei "c:\ppinfo.sys" gespeichert und dann per E-Mail versendet.
Damit der Wurm auch nach einen Rechner-Neustart aktiv wird, legt er folgenden Registry-Eintrag an:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "SvcHost32" = C:\WINDOWS\svchost32.exe
Die Datei "svchost32.exe" unter C:\WINDOWS\ ist eine Kopie des Wurmes.
Die Empänger-Adressen an die sich der Wurm versendet werden auf dem lokalen PC gesucht, wobei folgende Dateien nicht nach eMailadressen gescannt werden:
avi
bmp
cab
com
dll
exe
gif
jpg
mp3
mpg
ocx
psd
rar
tif
vxd
wav
zip
Alle auf dem PC gefundenen E-Mail-Adressen werden in einer Datei namens el388.tmp im Windowsverzeichnis gespeichert.
Manuelle Entfernung:
1. Löschen Sie den Registry-Eintrag
2. Booten/Starten Sie den PC neu.
3. Löschen sie die folgenden Dateien des Wurmes:
c:\pp.gif (PayPal Icon)
c:\pp.hta (HTML-Seite/Formular)
c:\ppinfo.sys (Ihre Kreditkartendetails)
c:\WINDOWS\ee98af.tmp (Der Wurm selbst)
c:\WINDOWS\el388.tmp (Die gefundenen eMailadressen)
c:\WINDOWS\svchost32.exe (Der Wurm selbst)
Danach ist der PC vom I-Worm.Mimail.I wieder befreit.
Quelle
<a href="http://www.boldluck.at" target="_blank">
![[Bild: boldluck468603.gif]](http://www.boldluck.at/mystuff/boldluck468603.gif)
</a>
</a>