В Интернете зарегистированы многочисленные случаи заражения вредоносной программой Mimail, сообщает "Лаборатория Касперского". Интернет-червь Mimail распространяется во вложенных файлах электронных писем. Зараженные письма содержат вложенный файл с расширением .zip, фальсифицированный адрес отправителя, что затрудняет поиск источника заражения, и выглядят следующим образом:

Тема: your account [rnd]

Текст:

Hello there,

I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.

---

Best regards, Administrator

Подобно червям Klez и Lentin (Yaha), Mimail проникает на компьютеры, используя бреши в системе безопасности браузера Internet Explorer. Вложенный архив message.zip содержит файл message.html. В случае открытия файла встроенный Java-скрипт через брешь Exploit.SelfExecHTML незаметно записывает на диск и запускает файл-носитель червя foo.exe. foo.exe копирует себя в директорию Windows под именем videodrv.exe и регистрируется в секции автозапуска системного реестра для обеспечения запуска червя при каждой загрузке операционной системы. Помимо этого, Mimail создает ряд дополнительных файлов в директории Windows: exe.tmp - червь в файле формате HTML; zip.tmp - червь в ZIP-архиве.

Для дальнейшего распространения по почте Mimail сканирует отдельные директории на локальном диске и извлекает из них строки, содержащие электронные адреса. Собранные данные записываются в файл eml.tmp в директории Windows, после чего червь, используя прямое подключение к почтовому серверу, незаметно рассылает по обнаруженным адресам свои копии.

"Широкое распространение Mimail заставляет нас еще раз напомнить пользователям, что вредоносные программы могут содержаться не только в EXE-файлах. Перед запуском необходимо проверять на вирусы любые файлы, полученные из Интернета", - прокомментировал распространение Mimail Евгений Касперский. При этом он отмечает, что сам Mimail практически безобиден: "Опасность заключается в популяризации описанной бреши Internet Explorer, так что примеру автора этого червя могут последовать другие вирусописатели"

С определенной степенью уверенности можно говорить, что Mimail - дело рук российских вирусописателей. Червь использует технологии и реализацию, практически идентичные примененным в троянской программе StartPage, которая однозначно имеет российское происхождение.