“小邮差”(Worm_Mimail.A)病毒于8月1日首次出现,该病毒目前在美国、欧洲传播较为迅速,我国用户也出现了感染案例,该用户由于打开了病毒邮件,遭受了该病毒的感染。遭受该病毒感染后,病毒对不断向外发送染毒邮件,导致病毒进一步扩散,同时系统内存被大量占用,使得系统运行速度减慢。
该病毒的传播利用了已知的漏洞,相关漏洞查询请参见
MS02-15 http://www.microsoft.com/technet/treeview/
default.asp?url=/technet/security/bulletin/MS02-015.asp
以及MS03-14 http://www.microsoft.com/technet/treeview/
default.asp?url=/technet/security/bulletin/MS03-014.asp
并请到以下链接下载升级文件
http://www.microsoft.com/windows/ie/downloads/critical/
330994/default.asp
国家计算机病毒应急处理中心提醒广大用户,及时下载安装补丁程序。留意该病毒的主要特征,遇到此类邮件不要打开,应立即删除。
该病毒的技术报告如下:
病毒名称:“小邮差”(Worm_Mimail.A)
病毒类型:蠕虫
感染系统:Windows 95/98/Me/NT/2000/XP
病毒特征:
该病毒的传播利用了已知的漏洞,病毒同时使用UPX进行压缩。
1、通过电子邮件进行传播
病毒通过自身的SMTP引擎传播,通过电子邮件进行传播时,伪装成管理员发给用户的邮件,并声称该用户所使用的电子邮件地址将要到期,诱骗用户打开邮件附件,从而感染病毒。病毒邮件格式如下:
发信人:admin@%x%(%x%为可变的,经常伪装成邮件用户所在域)
主题:your account %y%(%y%为任意字符)
内容:
Hello there,
I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.
Best regards,Administrator %z%(%z%为任意字符)
附件:message.zip
附件message.zip包含一个HTML文件和一个经UPX压缩的Win32可执行文件。当打开HTML时,恶意程序代码就被执行了(利用Internet Explorer的漏洞),之后.exe文件被执行,该程序为病毒的主体。
除了以下18种类型的文件之外,病毒在被感染用户的计算机上搜索剩余所有类型的文件,寻找可用的电子邮件地址,并向这些地址发送带有病毒的电子邮件。这18种类型的文件包括.avi、.bmp、.cab、.com、.dll、.exe、.gif、.jpg、.mp3、
.mpg、.ocx、.pdf、.psd、.rar、.tif、.vxd、.wav和.zip。
2、生成病毒文件
病毒一旦运行,蠕虫在Windows文件夹中生成自身拷贝,并命名为videodrv.exe。(Windows目录通常为C:\Windows或C:\WINNT),另外,病毒同时在Windows目录中生成下列三个文件:
eml.tmp--从本地计算机中搜集的邮件地址列表。
zip.tmp--message.zip的临时文件,病毒发送的邮件时使用的zip附件
exe.tmp--HTML以及经UPX压缩的Win32 exe 文件。
3、修改注册表
病毒对注册表进行修改,使得病毒能够随系统启动而自动运行
HKEY_Local_Machine\Software\Microsoft\Windows\
CurrentVersion\Run "VideoDriver"="%Windows%\
videodrv.exe"
病毒还创建以下注册表项目
HKEY_Local_Machine\Software>Microsoft>Code Store Database>Distribution Units {11111111-1111-1111-1111-111111111111}
清除病毒的相关操作
1、删除病毒电子邮件
2、 终止病毒进程
Windows 9x/ME系统,同时按下CTRL+ALT+DELETE键,
Windows NT/2000/XP系统,同时按下CTRL+SHIFT+ESC键,
选中正在运行的病毒进程Videodrv.exe,并终止该进程的运行。
3、对注册表进行恢复
(1)点击“开始->运行”,输入regedit.exe并回车
(2)依次双击左侧面板中的 HKEY_Local_Machine\Software\
Microsoft\Windows\CurrentVersion\Run,在右侧列表中查找并删除以下项目:"VideoDriver"="%Windows%\videodrv.exe"
(其中%Windows%为Windows目录,通常为C:\Windows或C:\WINNT)
(3)依次双击左侧面板中的 HKEY_LOCAL_MACHINE>SOFTWARE>
Microsoft>Code Store Database>Distribution Units,
在右侧列表中查找并删除以下项目:{11111111-1111-1111-1111-111111111111}
4、删除病毒文件
查找病毒文件eml.tmp、zip.tmp、exe.tmp并删除。
5、使用杀毒软件对计算机进行全面的病毒清除