Mimail.I
est un virus qui se
propage par email. Il se présente sous la forme d'un
message
dont le titre est "YOUR PAYPAL.COM ACCOUNT EXPIRES",
accompagné d'un fichier joint www.paypal.com.scr ou paypal.asp.scr,
en se faisant passer pour un avis de la société
de paiement en ligne Paypal.
Si ce fichier est exécuté, le virus tente de récupérer
les informations bancaires de sa victime pour les envoyer à
plusieurs adresses email, puis s'envoie à la plupart
des adresses emails présentes dans
l'ordinateur infecté.
PREVENTION
:
Les utilisateurs concernés doivent mettre
à jour leur antivirus. D'une manière générale,
même si son nom est attrayant il ne faut pas exécuter
un fichier joint sans au moins l'avoir au préalable
analysé avec un antivirus à jour.
DESINFECTION
:
Avant
de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FxMimail pour rechercher
et éliminer le virus.
|
TYPE
:
Ver
SYSTEME(S)
CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS
:
I-Worm.Mimail.i (Kaspersky)
W32/Mimail.I@MM (Mc Afee)
W32/Mimail-I (Sophos)
W32.Paylap@mm (Symantec)
WORM_MIMAIL.I (Trend Micro)
TAILLE
:
12.832 octets
DECOUVERTE
:
13/11/2003
DESCRIPTION
DETAILLEE :
Mimail.I est une variante du virus Mimail.C.
Il se présente sous la forme d'un courrier électronique
dont dont le titre est "YOUR
PAYPAL.COM ACCOUNT EXPIRES" et dont le corps du message
est :
"Dear
PayPal member,
PayPal would like to inform you about some important information
regarding your PayPal account. This account, which is associated
with the email address will be expiring within five business
days. We apologize for any inconvenience that this may cause,
but this is occurring because all of our customers are required
to update their account settings with their personal information.
We are taking these actions because we are implementing a
new security policy on our website to insure everyone's absolute
privacy. To avoid any interruption in PayPal services then
you will need to run the application that we have sent with
this email (see attachment) and follow the instructions. Please
do not send your personal information through email, as it
will not be as secure.
IMPORTANT! If you do not update your information with our
secure application within the next five business days then
we will be forced to deactivate your account and you will
not be able to use your PayPal account any longer. It is strongly
recommended that you take a few minutes out of your busy day
and complete this now. DO NOT REPLY TO THIS MESSAGE VIA EMAIL!
This mail is sent by an automated message system and the reply
will not be received.
Thank you for using PayPal"
L'adresse
d'expéditeur du message infecté est prétendument
PayPal.com (donotreply@paypal.com). La
pièce jointe possède une extension en .SCR :
- www.paypal.com.scr
- paypal.asp.scr
Si ce
fichier est exécuté, le virus se copie dans
le répertoire Windows sous le nom SVCHOST32.EXE, affiche
une fenêtre demandant à l'internaute ses coordonnées
bancaires sous prétexte de réactiver son compte
Paypal, puis envoie ces données à plusieurs
adresses e-mail appartenant probablement à l'auteur
du virus. Le virus collecte ensuite la plupart des adresses
emails présentes sur le disque dur (récupérées
dans tous les fichiers autres que .avi, .bmp, .cab, .com,
.dll, .exe, .gif, .jpg, .mp3, .mpg, .ocx, .pdf, .psd, .rar,
.tif, .vxd, .wav et .zip) puis s'y envoie automatiquement.
17/11/03
: une variante mineure Mimail.J a été identifiée.
La principale différence est la présentation
du message infecté envoyé automatiquement par
le virus : son titre est "IMPORTANT " ou "Problems
with your PayPal account" et le nom du fichier joint
"www.paypal.com.pif" ou "InfoUpdate.exe".
INFORMATIONS
COMPLEMENTAIRES :
->
Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
->
Messages
trompeurs envoyés par Mimail.J indexés par Hoaxkiller.fr
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|