Virus
Mimail.I

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
I-Worm.Mimail.i (Kaspersky)
W32/Mimail.I@MM (Mc Afee)
W32/Mimail-I (Sophos)
W32.Paylap@mm (Symantec)
WORM_MIMAIL.I (Trend Micro)

TAILLE :
12.832 octets

DECOUVERTE :
13/11/2003

DESCRIPTION DETAILLEE :
Mimail.I est une variante du virus Mimail.C. Il se présente sous la forme d'un courrier électronique dont dont le titre est "YOUR PAYPAL.COM ACCOUNT EXPIRES" et dont le corps du message est :

"Dear PayPal member,
PayPal would like to inform you about some important information regarding your PayPal account. This account, which is associated with the email address will be expiring within five business days. We apologize for any inconvenience that this may cause, but this is occurring because all of our customers are required to update their account settings with their personal information.
We are taking these actions because we are implementing a new security policy on our website to insure everyone's absolute privacy. To avoid any interruption in PayPal services then you will need to run the application that we have sent with this email (see attachment) and follow the instructions. Please do not send your personal information through email, as it will not be as secure.
IMPORTANT! If you do not update your information with our secure application within the next five business days then we will be forced to deactivate your account and you will not be able to use your PayPal account any longer. It is strongly recommended that you take a few minutes out of your busy day and complete this now. DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This mail is sent by an automated message system and the reply will not be received.
Thank you for using PayPal"

L'adresse d'expéditeur du message infecté est prétendument PayPal.com (donotreply@paypal.com). La pièce jointe possède une extension en .SCR :

• www.paypal.com.scr
• paypal.asp.scr

Si ce fichier est exécuté, le virus se copie dans le répertoire Windows sous le nom SVCHOST32.EXE, affiche une fenêtre demandant à l'internaute ses coordonnées bancaires sous prétexte de réactiver son compte Paypal, puis envoie ces données à plusieurs adresses e-mail appartenant probablement à l'auteur du virus. Le virus collecte ensuite la plupart des adresses emails présentes sur le disque dur (récupérées dans tous les fichiers autres que .avi, .bmp, .cab, .com, .dll, .exe, .gif, .jpg, .mp3, .mpg, .ocx, .pdf, .psd, .rar, .tif, .vxd, .wav et .zip) puis s'y envoie automatiquement.

17/11/03 : une variante mineure Mimail.J a été identifiée. La principale différence est la présentation du message infecté envoyé automatiquement par le virus : son titre est "IMPORTANT " ou "Problems with your PayPal account" et le nom du fichier joint "www.paypal.com.pif" ou "InfoUpdate.exe".

INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
-> Messages trompeurs envoyés par Mimail.J indexés par Hoaxkiller.fr
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus