1月8日,瑞星全球反病毒监测网在国内率先截获恶性蠕虫病毒“小邮差”的第十五个变种,并命名为小邮差变种O(Worm.Mimail.o)。据瑞星反病毒工程师分析,这个病毒变种在“小邮差”系列病毒上进行了重新编写,可以实现在线自动更新升级。该病毒会窃取用户的信用卡密码,并且修改用户的IE浏览器设置,将一个把美国总统布什和黑猩猩作对比的网页作为计算机的默认首页。
根据瑞星反病毒工程师介绍,小邮差变种O采用LCC编写。一旦感染,就会把用户的IE浏览器默认页设置为http://www.anvari.org/db/fun/World_Trade_Center/Bush_Monkey.jpg,这可能是病毒编写者的目的之一,借助病毒的快速传播来羞辱布什。
病毒运行后首先将自己复制为Windows目录下的WINMGR32.EXE文件,修改注册表实现自启动。病毒会在C盘根目录下释放两个病毒文件,分别为index.hta和index2.hta,病毒运行这两个文件,伪装为PAYPAL.COM的信用卡业务,盗取用户的信用卡信息,保存在文件TMPNY3.TXT中,随后病毒将会自己生成Email发送到指定的邮箱。
病毒会建立多个线程在C盘搜索email地址,并以自身为附件给这些地址发送带毒邮件,这些大量发送的垃圾邮件可能造成网络堵塞。该病毒带有后门功能,会打开TCP端口并监听,等待远程连接,该病毒变种能够接收远程数据来自动更新,对抗反病毒软件的清除。
