mi2.exe
mi2.chm
mi2.htm
mi2.wmv

Utiliza dos conocidos exploits, uno que ejecuta el gusano cuando se lee o se visualiza el mensaje en la vista previa, y otro que se basa en la visualización del archivo .WMF (Advanced Streaming Format, ASF).

Para propagar sus copias, el gusano utiliza sus propias rutinas SMTP para enviar los mensajes infectados. Los datos necesarios son tomados de la cuenta SMTP del usuario, en la siguiente clave del registro:

HKCU\Software\Microsoft\Internet Account Manager

Las direcciones de envío son tomadas de la libreta de direcciones de Windows (Windows Address Book, WAB). La ubicación del archivo es seleccionado de la siguiente clave:

HKCU\Software\Microsoft\WAB\WAB4\Wab File Name

El campo 'De:' del mensaje, es seleccionado de diferentes nombres de una lista guardada en su propio código, todas con el dominio '@patame.com.tw'.

El campo 'Asunto:' y el cuerpo del mensaje también son seleccionados al azar de una lista guardada en su código.

El 'Asunto:' comienza con una de las siguientes líneas:

How are you !! <nombre destinatario>
My friend, <nombre destinatario>
Hello <nombre destinatario>
Dear <nombre destinatario>

El <nombre destinatario> corresponde a cada nombre y dirección obtenida de la libreta de direcciones de la máquina infectada.

Se complementa con una de las siguientes cadenas:

, Watch my
, Attached is my
, Open the
, This is
, See this

Sigue con una de las siguientes palabras:

special
amusing
cute
interesting
funny

Y termina con una de las siguientes:

tape.
clip.
penguin.
movie.
video.

Por ejemplo:

Hello <nombre destinatario>, Open the funny clip.

Los adjuntos son los siguientes:

mi2.exe
mi2.chm
mi2.htm
mi2.wmv

Cuando el usuario lee el mensaje o lo visualiza en el panel de vista previa, el primer archivo (MI2.EXE, 73,728 bytes) se ejecuta, haciendo uso de la misma vulnerabilidad de la que se aprovechan otros conocidos virus. Para evitarlo es necesario actualizar el Internet Explorer con los parches respectivos.

El segundo exploit (Advanced Streaming Format (ASF) exploit), ocurre al visualizarse con el Windows Media Player el archivo .WMV (19461 bytes).

La vulnerabilidad se basa en el hecho que Windows Media Player posee la capacidad de abrir una dirección indicada en el cabezal de los archivos ASF (Advanced Systems Format). En este caso, abre el archivo MI2.HTM (515 bytes).

Este HTML contiene un código JavaScript empotrado, que activa el componente MI2.CHM (11,373 bytes) del gusano (Windows Compiled HTML), que es un falso archivo de ayuda, el cuál intenta descargar y ejecutar al componente principal, MI2.EXE.


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

4. Actualice su Internet Explorer según se explica en el siguiente artículo:

Parche acumulativo para Internet Explorer (MS02-023)
http://www.vsantivirus.com/vulms02-023.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Modificaciones:
26/jul/02 - Alias: Worm/Manymize.A, W32/Manyme.A-mm
26/jul/02 - Alias: I-Worm.Manymize, Win32.Manymize.A@mm
26/jul/02 - Mensajes con dominio '@patame.com.tw'.
26/jul/02 - Tamaño MI2.CHM (19461 bytes)



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com