Mimail.E
est un virus qui se
propage par email. Il se présente sous la forme d'un
message
dont le titre est "don't be late!", accompagné
d'un fichier joint READNOW.ZIP qui contient un fichier READNOW.DOC.SCR.
Si
ce fichier est exécuté, le virus s'envoie aux
correspondants dont
l'adresse est présente dans le carnet d'adresses Windows
et divers autres fichiers, puis lance une attaque par déni
de service contre plusieurs sites dédiés à
la lutte anti-spam.
PREVENTION
:
Les utilisateurs concernés doivent mettre
à jour leur antivirus. D'une manière générale,
même si son nom est attrayant il ne faut pas exécuter
un fichier joint sans au moins l'avoir au préalable
analysé avec un antivirus à jour.
DESINFECTION
:
Avant
de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FxMimail pour rechercher
et éliminer le virus.
|
TYPE
:
Ver
SYSTEME(S)
CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
ALIAS
:
I-Worm.Mimail.e (Kaspersky)
W32/Mimail.E@MM (Mc Afee)
W32/Mimail-E (Sophos)
W32.Mimail.D@mm (Symantec)
WORM_MIMAIL.E (Trend Micro)
TAILLE
:
10.912 octets
DECOUVERTE
:
01/11/2003
DESCRIPTION
DETAILLEE :
Mimail.E est une variante du virus Mimail.C.
Il se présente sous la forme d'un courrier électronique
dont dont le titre est "don't
be late! [caractères
variables]" et dont le corps du message est :
"Will meet tonight as we agreed, because on Wednesday
I don't think I'll make it,
so don't be late. And yes, by the way here is the file you
asked for. It's all written there. See you.
[caractères variables]"
L'adresse
d'expéditeur du message infecté est john@[nom
de domaine], le nom de domaine étant le même
que le nom de domaine de l'adresse email du destinataire.
Cette adresse est forgée par le virus, donc le message
n'est pas réellement envoyé par le correspondant
en question, s'il existe.
Ce message
incite l'utilisateur à ouvrir le fichier joint READNOW.ZIP
qui contient un fichier READNOW.DOC.SCR.
Si ce dernier est ouvert, le virus se copie dans le répertoire
Windows sous le nom CNFRM.EXE, s'envoie
à la plupart des adresses emails présentes sur
le disque dur (récupérées dans tous les
fichiers autres que .avi, .bmp, .cab, .com, .dll, .exe, .gif,
.jpg, .mp3, .mpg, .ocx, .pdf, .psd, .rar, .tif, .vxd, .wav
et .zip), puis lance une attaque par déni de service
contre les sites anti-spam Spews.org, Spamhaus.org et Spamcop.net,
afin de tenter d'en paralyser le fonctionnement.
03/11/03
: une variante Mimail.H a été identifiée.
La principale différence est le nom du fichier copié
sur le disque dur, CNFRM33.EXE au lieu de CNFRM.EXE.
Par ailleurs, cette variante lance une attaque DoS contre
les sites Spamhaus.org et Spews.org, mais pas contre Spamcop.net.
INFORMATIONS
COMPLEMENTAIRES :
->
FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
|