Rubrik: Virenwarnung/Aktuelle Meldungen

MessageLabs: Pay-Pal-Nutzer aufgepasst - Neue Mimail-Variante auf Passwort-Fang

Simuliertes PayPal-Log-in-Fenster zur Verifizierung der Kreditkarten-Daten

(22.11.03) - MessageLabs hat Kopien eines neuen E-Mail-Wurms aus der seit August diesen Jahres aktiven Mimail-Familie abgefangen: "W32/Mimail.I-mm". Die ersten betroffenen Mails stammten aus Frankreich. Bis dato sind 50 Prozent aller infizierten Nachrichten in den USA gestoppt worden. Eine steigende Verbreitung wird aber befürchtet.

Name: W32/Mimail.I-mm

Ursprungsland der ersten infizierten E-Mail: Frankreich

Allgemeines

Der Wurm versteckt sich in einem E-Mail-Attachment mit doppelter Dateinamen-Erweiterung, die wahlweise .asp.scr oder .com.scr lauten kann. Die Absender-Adresse ist gefälscht und gibt nicht die wahre Identität des Senders wieder. Die Verbreitung erfolgt durch das automatische Versenden an alle Adressen, die sich auf dem infizierten Rechner befinden.

Wird das Schadprogramm gestartet, so öffnet sich automatisch ein simuliertes PayPal-Log-in-Fenster zur Verifizierung der Kreditkarten-Daten. Die dort eingegebene Information wird anschließend in einer Datei namens ppinfo.sys gespeichert, die dann an einen Server außerhalb des Netzwerks weitergeleitet wird.

Charakteristika betroffener E-Mails (entsprechend der bis dato abgefangenen Exemplare)

Header & Absender: "PayPal.com" donotreply@paypal.com (NB: Absender-Adresse ist möglicherweise gefälscht)

Betreff: YOUR PAYPAL.COM ACCOUNT EXPIRES

Nachrichtentext:

Dear PayPal member,

PayPal would like to inform you about some important information regarding your PayPal account. This account, which is associated with this email address will be expiring within five business days. We apologize for any inconvenience that this may cause, but this is occurring because all of our customers are required to update their account settings with their personal information.

We are taking these actions because we are implementing a new security policy on our website to insure everyone's absolute privacy. To avoid any interruption in PayPal services then you will need to run the application that we have sent with this email (see attachment) and follow the instructions. Please do not send your personal information through email, as it will not be as secure.

IMPORTANT! If you do not update your information with our secure application within the next five business days then we will be forced to deactivate your account and you will not be able to use your PayPal account any longer. It is strongly recommended that you take a few minutes out of your busy day and complete this now.

DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This mail is sent by an automated message system and the reply will not be received.

Thank you for using PayPal.

Attachment:

paypal.asp.scr

www.paypal.com.scr

Size: 12,832 bytes (NB: Compressed using UPX)

MessageLabs hat alle Stränge dieses Virus mit Hilfe ihrer patentierten heuristischen Technologie Skeptic proaktiv erkannt und abgefangen. Weitere Informationen finden Sie unter http://www.messagelabs.com/viruseye/threats/. (ma)

MessageLabs

Office UK:

Tel: (0044-1452) 627627, Fax (0044-1452) 627628

Sales:

E-Mail: salesquery@messagelabs.com

General:

E-Mail: info@messagelabs.com

Web: www.messagelabs.com