Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Является приложением Windows (PE EXE-файл). Имеет размер 11296 байт. Упакован UPX, распакованный размер — около 480 КБ.
Инсталляция
При запуске червь копирует свой исполняемый файл в корневой каталог Windows под следующими именами:
%WinDir%\svchost.exe
%WinDir%\x8wui12s.tmp
%WinDir%\xu39reu.tmp
%WinDir%\xu298da.tmp
Для автоматического запуска при каждом последующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"France" = "%WinDir%\svchost.exe"
Распространение по электронной почте
Для поиска адресов жертв червь сканирует адресные книги MS Windows. Также червь производит поиск адресов электронной почты в файлах, находящихся в папках, на которые указывают значения параметров в ключе реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
Поиск производится во всех файлах за исключением тех, которые имеют следующие расширения:
сom
wav
cab
pdf
rar
zip
tif
psd
ocx
vxd
mp3
mpg
avi
dll
exe
gif
jpg
bmp
При рассылке зараженных писем червь использует собственную SMTP-библиотеку.
Характеристики зараженных писем
Имя отправителя
Wendy
Тема письма
Re[2]
Текст письма
Выбирается из двух вариантов:
Good afternoon,
We are going to bill your credit card for amount of $22.95 on a weekly basis.
Free pack of child porn CDs is already on the way to your billing address.
If you want to cancel membership and your CD pack please email order and credit card
details to security@europe.spamhaus.org
Are you ready for all types of underage porn?
We have the best selection for every taste!
Just click the secret links below and have fun:
http://www.*****us.org
<текст пропущен>
Nude boys under 16!
Nude girls under 16!
Incest, a daddy & a daughter!
We have everything you have ever dreamed for!
Hi Greg its Wendy.
I was shocked, when I found out that it wasn't you but
your twin brother!!! That's amazing, you're as like as two peas. No
one in bed is better than you Greg. I remember, I remember everything
very well, that promised you to tell how it was, I'll
give you a call today after 9.
<текст пропущен>
I'm so thankful to you, for acquainted me to your brother. I think we can do it on
the next Saturday all three together? What do you think? O yes,
as you wanted I've made a few pictures check them out in
archive, I hope they will excite you, and you will dream
of our new meeting...
Wendy.
Имя файла-вложения
wendy.zip
Вложение является архивом, содержащим запакованный файл с именем:
for_greg_with_love.jpg.exe
Деструктивная активность
Червь производит DoS-атаку на следующие сайты:
http://www.spamhaus.org
http://www.spews.org
http://www.register.com
http://www.cardcops.com
http://www.carderplanet.net
http://www.spamcop.net
http://disney.go.com
http://www.authorizenet.com
Другие названия
Email-Worm.Win32.Mimail.l («Лаборатория Касперского») также известен как: I-Worm.Mimail.l («Лаборатория Касперского»), W32/Mimail.l@MM (McAfee), W32.Mimail.L@mm (Symantec), Win32.HLLM.Foo (Doctor Web), W32/Mimail-L (Sophos), Win32/Mimail.I@mm (RAV), WORM_MIMAIL.L (Trend Micro), Worm/Mimail.L.2 (H+BEDV), W32/Mimail.L@mm (FRISK), Win32:MiMail-L (ALWIL), I-Worm/Mimail.L (Grisoft), Win32.Mimail.L@mm (SOFTWIN), Worm.Mimail.L (ClamAV), W32/Mimail.L.worm (Panda), Win32/Mimail.L (Eset) | 
