“小邮差”（Worm_Mimail.A）病毒于8月1日首次出现，该病毒目前在美国、欧洲传播较为迅速，我国用户也出现了感染案例，该用户由于打开了病毒邮件，遭受了该病毒的感染。遭受该病毒感染后，病毒对不断向外发送染毒邮件，导致病毒进一步扩散，同时系统内存被大量占用，使得系统运行速度减慢。

　　该病毒的传播利用了已知的漏洞，相关漏洞查询请参见

　　MS02-15 http://www.microsoft.com/technet/treeview/

　　default.asp?url=/technet/security/bulletin/MS02-015.asp

　　以及MS03-14 http://www.microsoft.com/technet/treeview/

　　default.asp?url=/technet/security/bulletin/MS03-014.asp

　　并请到以下链接下载升级文件

　　http://www.microsoft.com/windows/ie/downloads/critical/

　　330994/default.asp

　　国家计算机病毒应急处理中心提醒广大用户，及时下载安装补丁程序。留意该病毒的主要特征，遇到此类邮件不要打开，应立即删除。

　　该病毒的技术报告如下：

　　病毒名称：“小邮差”（Worm_Mimail.A）

　　病毒类型：蠕虫

　　感染系统：Windows 95/98/Me/NT/2000/XP

　　病毒特征：

　　该病毒的传播利用了已知的漏洞，病毒同时使用UPX进行压缩。

　　1、通过电子邮件进行传播

　　病毒通过自身的SMTP引擎传播，通过电子邮件进行传播时，伪装成管理员发给用户的邮件，并声称该用户所使用的电子邮件地址将要到期，诱骗用户打开邮件附件，从而感染病毒。病毒邮件格式如下：

　　发信人：admin@%x%（%x%为可变的，经常伪装成邮件用户所在域）

　　主题：your account %y%（%y%为任意字符）

　　内容：

　　Hello there,

　　I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.

　　Best regards,Administrator %z%（%z%为任意字符）

　　附件：message.zip

　　附件message.zip包含一个HTML文件和一个经UPX压缩的Win32可执行文件。当打开HTML时，恶意程序代码就被执行了（利用Internet Explorer的漏洞），之后.exe文件被执行，该程序为病毒的主体。

　　除了以下18种类型的文件之外，病毒在被感染用户的计算机上搜索剩余所有类型的文件，寻找可用的电子邮件地址，并向这些地址发送带有病毒的电子邮件。这18种类型的文件包括.avi、.bmp、.cab、.com、.dll、.exe、.gif、.jpg、.mp3、

　　.mpg、.ocx、.pdf、.psd、.rar、.tif、.vxd、.wav和.zip。

　　2、生成病毒文件

　　病毒一旦运行，蠕虫在Windows文件夹中生成自身拷贝，并命名为videodrv.exe。（Windows目录通常为C:\Windows或C:\WINNT），另外，病毒同时在Windows目录中生成下列三个文件：

　　eml.tmp--从本地计算机中搜集的邮件地址列表。

　　zip.tmp--message.zip的临时文件，病毒发送的邮件时使用的zip附件

　　exe.tmp--HTML以及经UPX压缩的Win32 exe 文件。

　　3、修改注册表

　　病毒对注册表进行修改，使得病毒能够随系统启动而自动运行

　　HKEY_Local_Machine\Software\Microsoft\Windows\

　　CurrentVersion\Run "VideoDriver"="%Windows%\

　　videodrv.exe"

　　病毒还创建以下注册表项目

　　HKEY_Local_Machine\Software>Microsoft>Code Store Database>Distribution Units {11111111-1111-1111-1111-111111111111}

　　清除病毒的相关操作

　　1、删除病毒电子邮件

　　2、 终止病毒进程

　　Windows 9x/ME系统，同时按下CTRL+ALT+DELETE键，

　　Windows NT/2000/XP系统，同时按下CTRL+SHIFT+ESC键，

　　选中正在运行的病毒进程Videodrv.exe，并终止该进程的运行。

　　3、对注册表进行恢复

　　（1）点击“开始->运行”，输入regedit.exe并回车

　　（2）依次双击左侧面板中的 HKEY_Local_Machine\Software\

　　Microsoft\Windows\CurrentVersion\Run，在右侧列表中查找并删除以下项目："VideoDriver"="%Windows%\videodrv.exe"

　　（其中%Windows%为Windows目录，通常为C:\Windows或C:\WINNT）

　　（3）依次双击左侧面板中的 HKEY_LOCAL_MACHINE>SOFTWARE>

　　Microsoft>Code Store Database>Distribution Units，

　　在右侧列表中查找并删除以下项目：{11111111-1111-1111-1111-111111111111}

　　4、删除病毒文件

　　查找病毒文件eml.tmp、zip.tmp、exe.tmp并删除。

　　5、使用杀毒软件对计算机进行全面的病毒清除