“小邮差”(Worm.Mimail.e) 新变种分析报告
发表于:2007-07-02来源:作者:点击数:
标签:
病毒名称 : Worm.Mimail.e 中文名称 : 小邮差 威胁级别 : 4C 受影响系统 : Win9x/NT/2K/ XP /2003 病毒类型 : 蠕虫 病毒别名 : I-Worm.Mimail.e[AVP] 该病毒大量发送病毒邮件,采用双后缀名的病毒主程序看起来像一个“屏保”文件,以此达到隐藏自己、欺骗用
病毒名称: Worm.Mimail.e
中文名称: 小邮差
威胁级别: 4C
受影响系统: Win9x/NT/2K/
XP/2003
病毒类型: 蠕虫
病毒别名: I-Worm.Mimail.e[AVP]
该病毒大量发送病毒邮件,采用双后缀名的病毒主程序看起来像一个“屏保”文件,以此达到隐藏自己、欺骗用户的目的。DoS(拒绝服务式)攻击,大量浪费
网络资源,可能导致被攻击的网站
服务器瘫痪。
请立即升级金山毒霸病毒库到11月4日的版本,即可防止该病毒的危害。
技术特征:
1、将自身复制为 %Windir%\cnfrm.exe
病毒在 %Windir% 数据夹中创建另外两个文件:
Zip.tmp:这个是 readnow.zip (10,912 字节) 的临时副本。
Exe.tmp:这个是 readnow.doc.scr (10,784 字节) 的临时副本。
2、添加注册表启动项,以随机启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SystemLoad32" = "%Windir%\cnfrm.exe"
3、病毒使用自带的SMTP服务器发送病毒邮件:
a.从计算机中的所有文件收集电子邮件地址,拥有下列扩展名的文件除外:
com
wav
cab
pdf
rar
zip
tif
psd
ocx
vxd
mp3
mpg
avi
dll
exe
gif
jpg
bmp
将所有的电子邮件地址写入文件 %Windir%\eml.tmp。
b.邮件大多以“提醒”的关键词来引诱用户打开邮件附件,如:
寄件人:john@<current domain> (该地址可能是经过伪装的,使其看起来是从当前域名发出。)
主题: don@#t be late!
附件名:readnow.doc.scr
正文:
Will meet tonight as we agreed, because on Wednesday I don@#t think I,ll make it,
so don@#t be late. And yes, by the way here is the file you asked for.
It,s all written there. See you.
4、通过连接 来
测试是否存在有效 Internet 连接;
5、针对以下站点发起DoS(拒绝服务)攻击,阻塞网络。
解决方案:
1、请升级金山毒霸到最新版,即可完全处理该病毒;
2、请注意不要打开陌生人的邮件,特别是告知附件为“屏保”文件的邮件;3、手工清除方法:
a、关闭Windows Me、Windows XP、Windows 2003的“系统还原”功能;
b、进入
安全模式或者结束病毒进程:
Windows 95/98/Me:
重新启动计算机,并进入安全模式。
Windows NT/2000/XP/2003:
打开进程管理器,找到名为“cnfrm.exe”的进程,并将其结束;
c、清理注册表:
打开注册表,删除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的键值"SystemLoad32"="%Windir%\cnfrm.exe",关闭注册表;
d、删除病毒文件:
将 %Windir% 目录下的 Zip.tmp、Exe.tmp、eml.tmp、cnfrm.exe 文件删除。
原文转自:http://www.ltesting.net