Vir s označením Mimail je jako kometa. Jednou za čas se nám pozměněn vrátí.
a pokaždé dokáže přesvědčit poměrně značné množství uživatelů, aby si jej nainstalovali. Ke svému šíření používá podobných metod. V současnosti se šířící verzi Mimail.I není příliš nebezpečný, co se týká schopnosti šíření. Může však způsobit nedozírné škody pokud mu uživatel „naletí. První identifikace viru pochází z jeho hlavičky která obsahuje jednak tuto adresu odesílatele:
PayPal.com [donotreply@paypal.com]
a pak také podle toho, že příjemce v předmětu zprávy objeví text : „OUR PAYPAL.COM ACCOUNT EXPIRES“. Již z toho se dá odvodit, že se tento vir zaměřuje na osoby, které využívají platební systému PayPal.
Chci vaše kreditky
Hlavní důkaz se pak nachází v těle zprávy, kde se objevuje následující text:
Dear PayPal member,
PayPal would like to inform you about some important information regarding your PayPal account. This account, which is associated with the email address
Na tomto místě je vložena adresa příjemce, tedy vaše adresa.
will be expiring within five business days. We apologize for any inconvenience that this may cause, but this is occurring because all of our customers are required to update their account settings with their personal information.
We are taking these actions because we are implementing a new security policy on our website to insure everyone's absolute privacy. To avoid any interruption in PayPal services then you will need to run the application that we have sent with this email (see attachment) and follow the instructions. Please do not send your personal information through email, as it will not be as secure.
IMPORTANT! If you do not update your information with our secure application within the next five business days then we will be forced to deactivate your account and you will not be able to use your PayPal account any longer. It is strongly recommended that you take a few minutes out of your busy day and complete this now.
DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This mail is sent by an automated message system and the reply will not be received.
Thank you for using PayPal.
V předchozích opdstavcích se vás tvůrce viru snaží přesvědčit, abyste spustili přiložený soubor. Ten nese název www.paypal.com.scr. Jeho spuštěním a vyplněním údajů ve formuláři, který se poté otevře, má podle textu přílohy uživatel dosáhnout prodloužení přístupu k účtu na PayPal.
Zobrazený formulář však slouží pouze k phishingu., tedy k tomu, aby na základě zobrazení falešné stránky s formulářem z uživatelů vylákal údaje o jejich kreditních kartách, včetně kódu PIN. Takto získané údaje vir ukládá do souboru ppinfo.sys, který vytvoří přímo v kořenovém adresáři „C:“. Získané informace odesílá do několika e-mailových schránek zřízených na freemailech.
Cesta do Česka
Ačkoliv je podle prvních zjištění zemí původu Francie, minimálně pět účtů, na které se odesílají získané údaje, se nacházejí na webmailu centrum.cz. Zatím se nám nepodařilo získat oficiální vyjádření představitelů serveru k jejich postupu, ale hned jak bude k dispozici, budeme o něm informovat. Většina tvůrců antivirových programů již pro tento vir nabídla updaty jejich ativirového software .
15. listopadu 2003
