“小邮差”(Worm.Mimail.e) 新变种分析报告

病毒名称: Worm.Mimail.e
　　中文名称: 小邮差
　　威胁级别: 4C
　　受影响系统: Win9x/NT/2K/XP/2003
　　病毒类型: 蠕虫
　　病毒别名: I-Worm.Mimail.e[AVP]
　　
　　该病毒大量发送病毒邮件，采用双后缀名的病毒主程序看起来像一个“屏保”文件，以此达到隐藏自己、欺骗用户的目的。DoS(拒绝服务式）攻击，大量浪费网络资源，可能导致被攻击的网站服务器瘫痪。
　　
　　 请立即升级金山毒霸病毒库到11月4日的版本，即可防止该病毒的危害。
　　
　　技术特征：
　　
　　 1、将自身复制为 %Windir%\cnfrm.exe
　　 病毒在 %Windir% 数据夹中创建另外两个文件：
　　 Zip.tmp：这个是 readnow.zip (10,912 字节) 的临时副本。
　　 Exe.tmp：这个是 readnow.doc.scr (10,784 字节) 的临时副本。
　　
　　 2、添加注册表启动项，以随机启动
　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　 "SystemLoad32" = "%Windir%\cnfrm.exe"
　　
　　 3、病毒使用自带的SMTP服务器发送病毒邮件：
　　 a.从计算机中的所有文件收集电子邮件地址，拥有下列扩展名的文件除外：
　　 com
　　 wav
　　 cab
　　 pdf
　　 rar
　　 zip
　　 tif
　　 psd
　　 ocx
　　 vxd
　　 mp3
　　 mpg
　　 avi
　　 dll
　　 exe
　　 gif
　　 jpg
　　 bmp
　　
　　 将所有的电子邮件地址写入文件 %Windir%\eml.tmp。
　　
　　 b.邮件大多以“提醒”的关键词来引诱用户打开邮件附件，如：
　　
　　 寄件人：john@<current domain> （该地址可能是经过伪装的，使其看起来是从当前域名发出。）
　　
　　 主题: don@#t be late!
　　 附件名:readnow.doc.scr
　　 正文:
　　 Will meet tonight as we agreed, because on Wednesday I don@#t think I,ll make it,
　　 so don@#t be late. And yes, by the way here is the file you asked for.
　　 It,s all written there. See you.
　　
　　 4、通过连接 来测试是否存在有效 Internet 连接；
　　
　　 5、针对以下站点发起DoS(拒绝服务）攻击，阻塞网络。
　　
　　
　　
　　
　　解决方案：
　　
　　 1、请升级金山毒霸到最新版，即可完全处理该病毒；
　　
　　 2、请注意不要打开陌生人的邮件，特别是告知附件为“屏保”文件的邮件；3、手工清除方法：
　　
　　 a、关闭Windows Me、Windows XP、Windows 2003的“系统还原”功能；
　　
　　 b、进入安全模式或者结束病毒进程：
　　 Windows 95/98/Me:
　　 重新启动计算机，并进入安全模式。
　　 Windows NT/2000/XP/2003:
　　 打开进程管理器，找到名为“cnfrm.exe”的进程，并将其结束；
　　
　　 c、清理注册表：
　　 打开注册表，删除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的键值"SystemLoad32"="%Windir%\cnfrm.exe"，关闭注册表；
　　
　　 d、删除病毒文件：
　　 将 %Windir% 目录下的 Zip.tmp、Exe.tmp、eml.tmp、cnfrm.exe 文件删除。

原文转自：http://www.ltesting.net