“小邮差”(Worm.Mimail.e) 新变种分析报告

发表于:2007-07-02来源:作者:点击数: 标签:
病毒名称 : Worm.Mimail.e 中文名称 : 小邮差 威胁级别 : 4C 受影响系统 : Win9x/NT/2K/ XP /2003 病毒类型 : 蠕虫 病毒别名 : I-Worm.Mimail.e[AVP] 该病毒大量发送病毒邮件,采用双后缀名的病毒主程序看起来像一个“屏保”文件,以此达到隐藏自己、欺骗用
病毒名称: Worm.Mimail.e
  中文名称: 小邮差
  威胁级别: 4C
  受影响系统: Win9x/NT/2K/XP/2003
  病毒类型: 蠕虫
  病毒别名: I-Worm.Mimail.e[AVP]
  
  该病毒大量发送病毒邮件,采用双后缀名的病毒主程序看起来像一个“屏保”文件,以此达到隐藏自己、欺骗用户的目的。DoS(拒绝服务式)攻击,大量浪费网络资源,可能导致被攻击的网站服务器瘫痪。
  
   请立即升级金山毒霸病毒库到11月4日的版本,即可防止该病毒的危害。
  
  技术特征
  
   1、将自身复制为 %Windir%\cnfrm.exe
   病毒在 %Windir% 数据夹中创建另外两个文件:
   Zip.tmp:这个是 readnow.zip (10,912 字节) 的临时副本。
   Exe.tmp:这个是 readnow.doc.scr (10,784 字节) 的临时副本。
  
   2、添加注册表启动项,以随机启动
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   "SystemLoad32" = "%Windir%\cnfrm.exe"
  
   3、病毒使用自带的SMTP服务器发送病毒邮件:
   a.从计算机中的所有文件收集电子邮件地址,拥有下列扩展名的文件除外:
   com
   wav
   cab
   pdf
   rar
   zip
   tif
   psd
   ocx
   vxd
   mp3
   mpg
   avi
   dll
   exe
   gif
   jpg
   bmp
  
   将所有的电子邮件地址写入文件 %Windir%\eml.tmp。
  
   b.邮件大多以“提醒”的关键词来引诱用户打开邮件附件,如:
  
   寄件人:john@<current domain> (该地址可能是经过伪装的,使其看起来是从当前域名发出。)
  
   主题: don@#t be late!
   附件名:readnow.doc.scr
   正文:
   Will meet tonight as we agreed, because on Wednesday I don@#t think I,ll make it,
   so don@#t be late. And yes, by the way here is the file you asked for.
   It,s all written there. See you.
  
   4、通过连接 来测试是否存在有效 Internet 连接;
  
   5、针对以下站点发起DoS(拒绝服务)攻击,阻塞网络。
  
  
  
  
  解决方案
  
   1、请升级金山毒霸到最新版,即可完全处理该病毒;
  
   2、请注意不要打开陌生人的邮件,特别是告知附件为“屏保”文件的邮件;3、手工清除方法:
  
   a、关闭Windows Me、Windows XP、Windows 2003的“系统还原”功能;
  
   b、进入安全模式或者结束病毒进程:
   Windows 95/98/Me:
   重新启动计算机,并进入安全模式。
   Windows NT/2000/XP/2003:
   打开进程管理器,找到名为“cnfrm.exe”的进程,并将其结束;
  
   c、清理注册表:
   打开注册表,删除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的键值"SystemLoad32"="%Windir%\cnfrm.exe",关闭注册表;
  
   d、删除病毒文件:
   将 %Windir% 目录下的 Zip.tmp、Exe.tmp、eml.tmp、cnfrm.exe 文件删除。

原文转自:http://www.ltesting.net