Rendszergazdának álcázza magát a féreg

A tizenkét kilobájt méretű I-Worm.Mimail vírus csatolt exe fájlként érkezik az áldozat postafiókjába. A fertőzött üzenet feladója "admin@hamis cím", amelyben a hamis cím a szolgáltató domainneve. Az üzenet tárgya: your account "véletlenszerű szöveg". A levél törzsében olvasható angol nyelvű szöveg arra figyelmeztet, hogy az áldozat e-mail címe hamarosan megszűnik, és erről bővebb információk a csatolt fájlban találhat. Természetesen a csatolt fájl elindításával futtatható le a vírus.

A message.zip nevű tömörített csatolt fájl egy "message.html" nevű html-oldalt tartalmaz, mely megnyitás után a "Downloaded Program Files" mappába menti a foo.exe fájlt (ez maga a vírus), majd futtatja azt. A vírus az Internet Explorer azon sebezhetőségét használja ki, amellyel egy Javascript minden előzetes figyelmeztetés nélkül férhet hozzá a merevlemezen található fájlokhoz.

Spamet is küld

Futás közben a vírus a Windows mappába másolja magát "videodrv.exe" néven, és a "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" regisztrációs kulcshoz az alábbi értéket adja: "VideoDriver = %WinDir%\videodrv.exe". Emiatt a Windows minden egyes indításakor a vírus is automatikusan elindul. A féreg továbbá egy exe.tmp, zip.tmp és eml.tmp fájlokat hozza létre a Windows könyvtárban.

Az I-Worm.Mimail a saját SMTP motorját használja önmaga terjesztésére, újabb áldozatok után pedig "Shell Folders" és "Program Files" mappákban lévő fájlokban kutatva próbál e-mail címeket szerezni. Az eddigi megfigyelések arra utalnak, hogy a féreg véletlenszerűen spam jellegű üzeneteket is küld, véletlenszerűen megválasztatott feladó és címzett mezővel, illetve tartalommal.