O PandaLabs, pertencente à Panda Software, detectou uma nova variante do worm Mimail, o W32/Mimail.I.worm.
Esta variante, tal como os seus predecessores, foi concebida para se propagar rapidamente em mensagens de correio electrónico que utilizem as chamadas técnicas de engenharia social para enganar os utilizadores e infectarem os seus computadores.
Neste caso particular, a mensagem refere-se ao sistema de pagamento PAYPAL.
O Mimail.I chega numa mensagem de correio electrónico com o assunto: YOUR PAYPAL.COM ACCOUNT EXPIRES, enquanto que o corpo da mensagem avisa aos utilizadores que devem actualizar a sua conta PAYPAL visto que está prestes a acabar o prazo.
O anexo que acompanha a mensagem chama-se www.paypal.com.scr ou paypal.asp.scr.
Se o utilizador executar o ficheiro, o Mimail.I procura todos os endereços de correio electrónico em todos os ficheiros do computador com extensões que não sejam: COM, WAV, CAB, PDF, RAR, ZIP, TIF, PSD, OCX, VXD, MP3, MPG, AVI, DLL, EXE, GIF, JPG e BMP. Estes endereços são guardados num ficheiro chamado el388.tmp. A seguir o worm utiliza o seu próprio motor SMTP para se reenviar a estes endereços, sem que o utilizador de aperceba.
O Mimail.I cria outros ficheiros (EE98AF.TMP e SVCHOST32.EXE) no computador, que na realidade são cópias do próprio worm.
Finalmente, cria uma entrada no registo do Windows para poder assegurar que é executado sempre que se arranca o sistema.