網路新駭蟲 Moo ha ha(Mimail)，利用 IE 與 OUTLOOK 的二個漏洞發 E-mail 擴散
小心附帶檔為 Message.zip 檔案，內附 Message.html 漏洞網頁，一開啟即中毒

目前網路上再度流傳一隻利用 IE 與 OUTLOOK 漏洞大量發信的駭蟲 Moo ha ha(Mimail)，微軟於2003年4月份左右公佈此漏洞修補程式，因此尚未修補漏洞的使用者為數甚多，就如同2001年出現的 Klez 病毒，利用 IE MIME 漏洞，造成全球的嚴重感染，尚未修補 IE MIME 漏洞的使用者仍大有人在，因此到目前為止 Klez 仍持續的流傳中。

Moo ha ha(Mimail)駭蟲利用了二個漏洞如下：
一.IE HTML 的 Cookie 漏洞：
可透過 HTML 網頁，在 Local 端產生一個含有 Script 語言的 Cookie 檔案。

二.OUTLOOK 的 MHTML URL 漏洞：
透過【MHTML URL 處理常式】可以呼叫 HTML 網頁上的 MIME-Version 的 binary 檔案。

利用以上二個漏洞即可以讓使用者在開啟一個網頁時即自動觸發駭蟲程式，雖然利用這種方式的駭蟲目前只發現一隻，可是往後的發展將可能會更多樣性，因此使用者仍要盡速修補這二個漏洞，才能有效預防再有類似手法的駭蟲。

微軟公佈的漏洞修補程式如下：
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-015.asp 以及 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-014.asp

Mimail 駭蟲信件：
寄件者：Admin@(您的 E-mail Domain Name)
主旨：your account (隨機字串)
內文：
Hello there,
I would like to inform you about important information regarding your email address. This email address will be expiring.
Please read attachment for details.
---
Best regards, Administrator
附帶檔：Message.zip

Mimail 駭蟲行為：
利用以上二個漏洞，此駭蟲的 Message.html 可以在被 IE 開啟時，會有以下的步驟：
1.開啟 Message.html 檔案後，會產生一個含有 Script 語言的 Cookie 檔案，此 Cookie 檔案內容即寫到 Message.html 呼叫 MIME-Version 的 binary 檔案 foo.exe。
2.網頁轉換到這個被產生的 Cookie 檔案並開啟，呼叫 Message.html 內 MIME-Version 的 binary 檔案 foo.exe，因此 foo.exe 駭蟲程式即自動被啟動。
3.將駭蟲本身複製到 Windows 目錄下檔名為 Videodrv.exe 並執行，foo.exe 即自動關閉。
4.修改註冊值，使開機時即啟動駭蟲。
5.搜尋電腦上的所有 E-mail 帳號，利用自己的 SMTP 大量發信，並偽裝成使用者帳號的 Admin 管理者所發出的帳號到期通知信件，引誘使用者讀取信件。
6.在 Windows 目錄下產生 Eml.tmp，紀錄所有偵測到的 E-Mail address。
7.在 Windows 目錄下產生 Zip.tmp(駭蟲附帶檔 Message.zip 的備份)、Exe.tmp(駭蟲檔案 Message.html 的備份)。