La pasada semana se daba a conocer en todos los medios especializados la aparición de una nueva mutación (la llamada C) del viejo conocido MiMail, que irrumpía fuerte en el panorama vírico mundial hace algo más de un año. Estos días, por su rápida propagación y capacidad de mutación, podemos conocer hasta cinco nuevas versiones.

La variante C hacía su aparición estrella la semana pasada, gracias a un ingenioso uso de la morbosa curiosidad humana para hacer que los incautos ejecutaran el archivo infectado que llegaba a través del correo. El archivo se llama photos.zip y el mensaje hacía referencia (en inglés) a unas fotos que un chico enviaba a su novia. En el mensaje indicaba que en el archivo adjunto venían incluidas aquellas en las que estás en la playa medio desnuda en un tono burlón y picante, en el que al final se despide prometiéndole hacerle el amor (literalmente, el mejor sexo). El archivo comprimido en realidad contiene un archivo ejecutable phptos.jpg.exe, en el que la segunda extensión (la que realmente indica que es un ejecutable en lugar de una imagen) queda oculta por la configuración por defecto de Windows.

El archivo, técnicamente hablando, no hace gala de demasiada originalididad. Cambios en el registro para asegurar que se ejecuta en cada inicio del sistema y algunos archivos esparcidos por el directorio de sistema: (netwatch.exe, eml.tmp, exe.tmp, zip.tmp). Su misión parece ser en un principio realizar un ataque de denegación de servicio contra los dominios: darkprofits.com, darkprofits.net, www.darkprofits.com y www.darkprofits.net.

Al poco tiempo hemos sido testigos de la aparición de otra variante bautizada MiMail.D que se propaga junto con el fichero adjunto message.zip. En el cuerpo del mensaje esta vez se hace referencia a que el fichero contiene información vital sobre la cuenta del usuario destino, que, según el virus, puede expirar si no se le hace caso. Las técnicas de propagación son muy parecidas.

Las variantes MiMail.E, MiMail.F y MiMail.G apenas presentan diferencias. Se propagan con el fichero readnow.zip a una gran velocidad. Esta vez, en el cuerpo del mensaje sólo se hace referencia a que el archivo contiene lo que previamente fue pedido. En realidad el ZIP contiene un fichero readnow.doc.scr. La extensión SCR hace referencia a los protectores de pantalla (ScreenSavers) y pueden contener código ejecutable.

Cabe destacar que aunque las diferencias sean mínimas, la aparición de tantas variantes en un espacio de tiempo tan corto, indica que el virus está siendo estudiado por sus creadores o personas que lo han analizado, e intentan modificarlo para que el ataque sea aun más popular, sabedores de que muchos sistemas antivirus, obvian el análisis de archivos comprimidos.

Más información y referencias:

W32/Mimail.C. Se propaga con el adjunto "PHOTOS.ZIP"
http://www.vsantivirus.com/mimail-c.htm

MiMail worm uses ZIP files to rampage across corporations
http://www.theinquirer.net/?article=12445

Sergio de los Santos
http://www.forzis.com