Simulando ser un mensaje del servicio PayPal, estas nuevas versiones
solicitan al usuario datos sensibles sobre su tarjeta de crédito.
Afortunadamente es muy fácil reconocer la llegada de estos gusanos a
simple vista, ya que se distribuyen en un e-mail con el mismo remite y
asunto.
El uso de textos fijos en los campos de remitente y
asunto, sin duda, facilitará el reconocimiento a los usuarios y la tarea
a los administradores de servidores de correo que cuenten con filtros y
sistemas anti-spam. Los textos a tener en cuenta para detectar a
Mimail.I y Mimail.J son:
Remite: donotreply@paypal.com
Asunto:
YOUR PAYPAL.COM ACCOUNT EXPIRES
Remite: Do_Not_Reply@paypal.com
Asunto: IMPORTANT
El cuerpo del mensaje, en inglés, solicita que
debemos actualizar la información de nuestra cuenta en PayPal o de lo
contrario expirará pasados 5 días. Para llevar a cabo el proceso de
actualización, nos pide que ejecutemos los archivos adjuntos al e-mail,
que en realidad contienen el código del gusano.
Los archivos
adjuntos pueden tener los siguientes nombres:
www.paypal.com.scr
paypal.asp.scr
www.paypal.com.pif
InfoUpdate.exe
Si el usuario
ejecuta el archivo adjunto el gusano infectará su equipo, y mostrará un
formulario con el logotipo de PayPal que solicita datos sensibles de la
cuenta, como número de tarjeta de crédito, PIN, código CVV (3 dígitos de
comprobación que suelen aparecer en el reverso de la tarjeta de crédito)
y fecha de expiración.
En el caso de Mimail.J, y a
diferencia de Mimail.I, una vez rellenado ese formulario aparecerá un
segundo requiriendo datos personales, como nombre y apellidos, fecha de
nacimiento, domicilio, número de la seguridad social, etc.
Los datos que el usuario introduzca en esos formularios serán
almacenados en el archivo C:ppinfo.sys. Posteriormente este archivo,
que contiene los datos sensibles de la tarjeta de crédito, será enviado
a diferentes cuentas de correo que definió el creador del virus.
El gusano se instala en la carpeta de Windows bajo el nombre de svchost32.exe
y, como suele ser habitual en estos especímenes, añade una entrada a la
clave RUN del registro de Windows para asegurarse su ejecución en cada
inicio del sistema:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunSvcHost32
= [directorio de windows]svchost32.exe
Antes de comenzar los
envíos, tanto de propagación a otros usuarios como de los datos
recolectados a la cuenta del creador del virus, el gusano comprueba si
el sistema está conectado a Internet intentando resolver el dominio
www.akamai.com.
El gusano busca direcciones de correo dentro de
todos los archivos que encuentra en el sistema infectado, ignorando los
archivos con algunas de estas extensiones: avi, bmp, cab, com, dll, exe,
gif, jpg, mp3, mpg, ocx, pdf, psd, rar, tif, vxd, wav, zip. A las
direcciones encontradas les enviará el mismo mensaje con el gusano
adjunto, tal y como describimos al principio.
Adicionalmente el
gusano puede escribir en el sistema otros archivos que utiliza en los
diferentes procesos, a continuación un listado resumen:
c:cansend.sys
c:pp.gif (icono de paypal)
c:pp.hta (interfaz de
los formularios)
c:ppinfo.sys (datos recopilados de la tarjeta de
crédito)
[directorio de Windows]ee98af.tmp (copia del gusano)
[directorio de Windows]el388.tmp (direcciones e-mail)
[directorio de
Windows]svchost32.exe (copia del gusano)
[directorio de
Windows]zp3891.tmp
En el momento de escribir esta nota hay
algunos antivirus que aun no reconocen la versión de Mimail.J, si bien
esperamos que en cuestión de horas se encuentren disponibles las
actualizaciones para todos los productos.
En cualquier caso.
desde Hispasec, esperamos que la incidencia de infecciones reales
causadas por estos gusanos (no confundir con número de mensajes
detectados) sea baja en países de habla hispana, dado que el uso del
servicio PayPal está más extendido en otros países, además de que los
textos con los que el propio gusano intenta engañar a los usuarios están
en inglés.
Ya cuenta en su poder con más del 90 % de las acciones del proveedor…
Los actuales consejeros delegados, Raphael Erb y Melissa Mulholland, se convertirán en co-CEOs de la…
Liderará una unidad de negocio con la que Kyndryl permite a sus clientes reforzar operaciones…
Bienvenido a un nuevo episodio del podcast semanal Silicon Pulse, un espacio en el que…
Cisco comparte una lista con los cinco fenómenos tecnológicos que prevé que marcarán el rumbo…
Los profesionales de tecnología de la información, telecomunicaciones y comercio electrónico reciben un salario de…