W32/Mimail (inkl. Varianten)

Obwohl es sich bei W32/Mimail um einen Schädling handelt, wie er in ähnlicher Form früher schon dutzendfach aufgetreten ist, hat er es doch geschafft, viele PCs zu infizieren. Einerseits erreicht er dies, weil viele Windows-Benutzer die Sicherheitslücken ihrer PCs nicht per Windows-Update stopfen. Andererseits fallen wohl auch viele auf den gefälschten Absender herein und führen die Mail-Beilage manuell aus.

Die ersten Mimail-Varianten:

Die E-Mail, mit der sich die früheren Varianten dieses Wurms verbreiteten, ähneln auf dem ersten Blick einer Spam-Mail:

Gefälschte Absender-Adresse: admin@(Domainname des Empfängers)

Betreff: your account (gefolgt von einigen Leerzeichen und einer zufälligen Zeichenkombination)

Text:

Hello there,

I would like to inform you about important information regarding your email address. This email address will be expiring.

Please read attachment for details

---

Best regards, Administrator

(zufällige Zeichenfolge)

Name der Beilage: message.zip

Der Wurm missbraucht eine schon längst bekannte Sicherheitslücke des Microsoft Internet Explorers, für die es aber seit langem einen Patch [1] gibt, den jeder Windows-Benutzer ganz bequem über Windows-Update installieren kann.

Der Wurm legt im Windows-Ordner eine Datei namens videodrv.exe ab und trägt diese in die Windows-Registry ein, und zwar in diesem Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Der Eintrag lautet:

VideoDriver = (Windows-Ordner)\videodrv.exe

Dieser Eintrag sorgt dafür, dass sich der Wurm bei jedem PC-Start automatisch ausführt.

Zudem kreiert er im Windows-Ordner noch folgende Dateien:

exe.tmp und zip.tmp, die den Wurm enthalten und

eml.tmp, die eine Liste der E-Mail-Adressen enthält, die der Wurm auf dem infizierten PC gefunden hat.

Der Wurm verschickt sich selber automatisch an die Adressen, die er auf dem PC sammeln konnte.

Informationen über diesen Wurm finden Sie zum Beispiel bei F-Secure [2], Network Associates [3] oder Symantec [4]. Letztere haben auch ein Beseitigungs-Werkzeug bereitgestellt. Im Grunde reicht es aber, den Eintrag des Wurmes aus der Registry zu entfernen und durch einen Komplett-Scan aller Dateien auf der Festplatte die als Mimail erkannten Dateien zu löschen.

NEUE VARIANTEN:

Neuere Varianten des Mimail-Wurms geben sich als E-Mails vom Betreiber des Zahlungssystems "PayPal" aus. Besonders die Varianten Mimail.I und Mimail.J haben sich Mitte November 2003 stark verbreitet. Im Detail sieht das so aus:

Der gefälschte Absender: "PayPal.com" Do_Not_Reply@paypal.com

Betreff: IMPORTANT

Name der Beilage: www.paypal.com.pif

Im englischen Mail-Text wird behauptet, der PayPal-Account des Empfängers laufe in fünf Tagen ab, wenn er diesen nicht reaktiviere. Und natürlich solle der Empfänger einer solchen Mail die Beilage öffnen. Diese Beilage pflanzt erstens den Wurm ein und zweitens ist sie überaus neugierig: Wird die Datei ausgeführt, erscheint eine Art Formular, das einer echten PayPal-Webseite täuschend ähnlich sieht. Dort solle dann der Benutzer seine Kreditkartendaten und allenfalls weitere persönliche Informationen (Postadresse) eintippen. Screenshots dieser Formulare finden Sie zum Beispiel in F-Secures Beschreibung von Mimail.J [5].

Die eingetippten Daten könnten an E-Mail-Adressen des Virenschreibers geschickt werden, der damit Missbrauch betreibt.

Diese beiden Mimail-Varianten legen eine Datei namens svchost32.exe im Windows-Ordner ab, also etwa in C:\Windows\ oder in C:\Winnt\. Der Wurm trägt diese Datei in der Windows-Registry ein, um sicherzustellen, dass die schädliche Datei bei jedem PC-Start mitgeladen wird.

Um den Wurm zu entfernen, gehen Sie so vor:

Wenn Sie Windows ME oder Windows XP haben, müssen Sie zuerst die Systemwiederherstellungs-Funktion deaktivieren, sonst stellt genau diese Ihnen nach dem PC-Neustart ausgerechnet den Wurm wieder her. Falls Sie Windows NT, Windows 2000 oder Windows XP haben, müssen Sie sich zudem mit Administrator-Rechten anmelden, sonst werden Ihre Änderungen nicht gespeichert.

Haben Sie obiges sichergestellt, starten Sie den Registry-Editor, indem Sie auf "Start/Ausführen" klicken und im weissen Feld REGEDIT eintippen. Seien Sie beim Hantieren mit dem Registry-Editor bitte äusserst vorsichtig!

Manövrieren Sie sich per Klicks auf die Plus-Zeichen zu diesem Zweig durch und klicken Sie den Zweig "Run" an, damit Sie auf der rechten Seite des Registry-Editors dessen Inhalte sehen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Klicken Sie mit Rechts auf den Eintrag "SvcHost32" und wählen Sie im Kontextmenü den Befehl "Löschen". Starten Sie den PC neu.

Öffnen Sie mit dem Windows-Explorer den Windows-Ordner; dieser heisst je nach Windows-Version C:\Winnt\ oder C:\Windows\. Allenfalls müssen Sie im Explorerfenster via "Extras/Ordneroptionen/Ansicht" noch folgende Einstellungen anpassen, damit Sie wirklich alles angezeigt bekommen:

- Schalten Sie das Ausblenden von "Dateinamenerweiterungen" ab

- Schalten Sie das Ausblenden von "geschützten Systemdateien" ab

- Unter "Versteckte Dateien" lassen Sie "Alle Dateien und Ordner anzeigen"

Löschen Sie nun im Windows-Ordner die Datei svchost32.exe. Aktualisieren Sie Ihren Virenscanner und scannen Sie Ihre Festplatte.

Weitere Varianten des Mimail-Wurms werden vermutlich andere Betreffzeilen, Mail-Texte und Dateinamen verwenden. Sorgen Sie dafür, dass Ihr Virenscanner gut durch Online-Updates gepflegt ist, aktualisieren Sie auch Windows regelmässig via Windows-Update und öffnen Sie keine Mailbeilagen.