Crva W32/Mimail-A prepoznavat će Sophos Anti-Virus za rujan 2003. (v.3.73).

Instalacije svih korisnika koji koriste Enterprise Manager, Sophosov alat za automatizirano dograđivanje putem Interneta, dograđene su automatski 1. kolovoza 2003., kada je objavljena prva verzija ove dogradnje ili nakon toga, ovisno o tome kako je podešena učestalost dograđivanja.

Svim korisnicima preporučujemo da, ako već nisu, svoje programe Sophos Anti-Virus odmah dograde hitnom dogradnjom za prepoznavanje ovog crva, koju možete naći na http://www.sophos.com/downloads/ide.

Vrsta

Win32 crv

Način širenja

Crv napada sve verzije operativnog sistema Windows, a širi se slanjem poruka elektroničkom poštom (pomoću vlastitog SMTP mehanizma) sa inficiranim attachmentom. Iskorištava problem Windowsa (Outlook Expressa) koji je popravljen zakrpom http://support.microsoft.com/default.aspx?scid=kb;en-us;330994.

Subjekt poruke:
obično stoji tekst "your account <slučajno odabrani tekst>".

Poruka:
Hello there, I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.
---
Best regards, Administrator

Attachment:
"message.zip" u kojemu se nalazi datoteka koja pokreće infekciju.

Aktivnosti / Simptomi / Posljedice

Prilikom aktiviranja crv će stvoriti datoteke:

• %WinDir%\eml.tmp
• %WinDir%\exe.tmp
• %WinDir%\videodrv.exe
• %WinDir%\zip.tmp

U registry-ju postavlja vrijednost:

• HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ VideoDriver="%Windir%\videodrv.exe"

koja mu osigurava automatsko pokretanje čim se Windowsi pokrenu. U nekim slučajevima se kreira i stavke

• HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ VideoDriver="%Windir%\videodrv.exe"
• HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Code Store Database \ Distribution Units \ {11111111-1111-1111-1111-111111111111}

Pretražuje datoteke s nastavkom AVI, BMP, CAB, COM, DLL, EXE, GIF, JPG, MP3, MPG, OCX, PDF, PSD, RAR, TIF, VXD, WAV, ZIP i iz njih prikuplja e-mail adrese i popis sprema u datoteku %WinDir%\eml.tmp.

Uklanjanje

• fizički odvojite računalo od mreže i Interneta
• pokrenite računalo u DOS mod ili Safe mode with command prompt
• skenirajte diskove programima sweep.exe ili sav32cli.exe (ovisno o verziji operativnog sistema i Sophosa koje imate) iz foldera u kojemu se nalaze i najnovije IDE datoteke
• uklonite sve datoteke koje je Sophos identificirao kao crve
• uklonite sve datoteke koje kreira ovaj crv
• iz datoteke registry uklonite stavke koje crv kreira

Na računalima s Windows NT/2000/XP možete ukloniti proces VideoDrv.exe i obaviti skeniranje u GUI načinu.

Zaštita od infekcije

• primjena kumulativne zakrpe pomaže u sprečavanju aktivnosti ovoga crva
• primjena svih zakrpa za operativni sustav i aplikacije kojima pristupate Internetu klasična je mjera opreza koju bi trebalo uvijek provesti
• podučite krajnje korisnike da ne otvaraju mail, a posebno attachment, ako ne znaju tko i što im je poslao

Ostalo

Još podataka možete pronaći na sljedećim stranicama:

• Sophos

Sažetak svojstava