Mimail, også kjent som WORM_MIMAIL.A, W32/Mimail@MM og W32.Mimail.A@mm, en e-postorm som ble oppdaget fredag i forrige uke.
Ormen spres til Windows-brukere skjult i en e-post som tilsynelatende kommer fra administratoren av brukernes e-posttjeneste. Avsenderadressen er ifølge Panda Software admin@domene, hvor det domene er det samme som mottakeren av e-posten.
Tittelen på meldingen er your account xxxxxxxx, hvor x-ene er tilfeldige bokstaver. Inneholdet i meldingen er en ZIP-fil, message.zip, samt den følgende teksten som er gjengitt som HTML-tagger:
Hello there,
I would like to inform you about important information regarding your
email address. This email address will be expiring.
Please read attachment for details.
---
Best regards, Administrator
xxxxxxxx
En stor fordel for norske, uoppmerksomme brukere er at meldingen er på engelsk. Dette minsker faren for at de oppfatter e-posten som en legitim beskjed. Men enkelte åpner fortsatt vedlegg helt ukritisk. Antivirustjenesten Virusfree.no har registrert ormen 31 ganger de siste 24 timene, noe som innebærer en tredjeplass på oversikten. Den globale statistikken til MessageLabs melder om nærmere 42.000 tilfeller, noe som holder til en andreplass, bare slått av alltid tilstedeværende Klez.h.
Den ondsinnede koden befinner seg i Mimails tilfelle i ZIP-filen. ZIP-filen inneholder ifølge Symantec blant annet en fil som heter message.html, som er nøkkelen for å starte Mimail. Filen gjør endringer i registeret i Windows slik at ormen startes opp hver gang brukeren starter opp PCen.
Det virker ikke som om Mimail gjør annen skade enn å lete opp adresser på den angrepne maskinen. Adressene bruker ormen til å spre seg til andre maskiner.
