自2003年11月1日始,瑞星截獲的蠕蟲病毒。是一種針對 WINDOWS 9X/NT/2000/XP系統進行攻擊的病毒。
基本介紹
簡介,病毒行為,解決方案,和其它惡性蠕蟲對比,小郵差變種,小郵差變種c,小郵差變種I,小郵差變種L/M,
簡介
病毒名稱:小郵差
警惕程度:★★★★
發作時間:隨機
病毒類型:蠕蟲病毒
傳播方式:網路
感染對象:網路
依賴系統: WINDOWS 9X/NT/2000/XP
病毒會在除了以下擴展名的所有類型的檔案中搜尋mail地址:".bmp",".jpg",".gif",".exe",".dll",".avi",
".mpg"".mp3",".vxd",".ocx",".psd",".tif",".zip",".rar" “.pdf",".cab",".wav",".com",如果找到有效的電子郵件地址,則病毒會使用自己的郵件傳送引擎傳送郵件標題為:“your account ###### ”(######可變串),附屬檔案為:Message.zip的病毒郵件,由於病毒利用了微軟的漏洞,以至於用戶只要預覽該病毒郵件,病毒便會自動運行,給用戶造成危害。
病毒行為
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"VideoDriver"=%WINDOWS%\videodrv.exe"
⒊病毒激活後會在WINDOWS安裝目錄下生成以下三個檔案
eml.tmp | 用於保存病毒收集到的電子郵件地址 |
exe.tmp | 病毒附屬檔案message.zip的臨時檔案 |
zip.tmp | message.zip包中message.htm檔案的臨時檔案 |
avi | bmp | cab | com | dll | exe | gif | jpg | mp3 | mpg | ocx | psd | rar | wav | tif | pdf | vxd | zip |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111}
發信人: admin@ (病毒為了加強期期騙性,將發信人地址的域名改為受攻擊郵件地址的域名)
主題: your account “受攻擊郵件地址的用戶名"
正文:
Hello there, I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details. Best regards, Administrator |
附屬檔案: Message.zip
解決方案
⒈ 病毒運行後會將名為Videodrv.exe的病毒體複製到windows目錄下,並產生多個病毒相關檔案:Zip.tmp、Exe.tmp、 Eml.tmp。如果用戶發現上述提到的病毒檔案,則證明已經被感染,可直接將這些病毒檔案刪除。
⒉ 病毒會通過修改註冊表的自啟動項來進行自啟動,病毒會修改:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,在其中加入名為:“VideoDriver”的註冊表鍵值,內容是病毒檔案所在的路徑。用戶可以用REGEDIT等註冊表編輯工具直接刪除病毒產生的這個鍵值,以防止病毒進行自啟動。
⒊ 病毒會傳送郵件標題為:your account ## (##為可變串),附屬檔案為:Message.zip的病毒郵件, 同時病毒還利用微軟漏洞,使得用戶只要預覽該郵件就會中毒。另外Message.zip的附屬檔案中中有一個Message.htm檔案,當用戶預覽該檔案時,病毒便會利用漏洞將名為foo.exe的病毒體複製到Internet臨時檔案目錄中,並將其運行。用戶可以先到上面提到的地址打一個郵件漏洞的補丁,以防止病毒運行,然後再查看收件箱中是否有上述提到的郵件,最後將提到的“foo.exe”檔案刪除。
和其它惡性蠕蟲對比
病毒名稱 | 衝擊波(Msblast) | 大無極(Sobig.f) | 小郵差 |
傳播方式 | 系統漏洞 | 電子郵件 | 電子郵件 |
傳播速度 | 極快,不到一天感染全球 | 快,在病毒發作日內快速傳送病毒郵件 | 快,病毒無明顯發作日,會像滾雪球一個快速增長 |
傳播範圍 | 全球範圍 | 全球範圍 | 歐、美、亞陸續出現 |
危害程度 | 高,針對網際網路 | 高,主要針對郵件伺服器冊,每17封中有一個帶毒郵件 | 高,針對郵件伺服器,還在被感染的系統內留下極危險的後門,每12封郵件中就一封是帶毒郵件 |
小郵差變種
小郵差變種c
發作時間:隨機
病毒類型:蠕蟲病毒
警惕程度:★★★★
傳播途徑:郵件
依賴系統: WINDOWS 9X/NT/2000/XP
病毒介紹:
2003年11月1日,瑞星全球反病毒監測網截獲了惡性蠕蟲“小郵差”病毒的最新變種:“小郵差變種C(Worm.Mimail.C)”,該病毒會隨機變換郵件標題、向外傳送大量郵件來阻塞網路,病毒還會利用被感染的機器向一些網站發起“拒絕服務攻擊(DoS)”,導致整個網路癱瘓。
病毒的特性、發現與清除:
⒉ 病毒會修改註冊表的自啟動項:“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”,在其中添加:“NetWatch32 = %Windir%\netwatch.exe”的病毒鍵值,用戶可以利用REGEDIT等註冊表編輯工具查找該病毒鍵值,找到後刪除。
⒊ 病毒會搜尋:com、wav、cab、pdf、rar、zip、tif、psd、ocx 、vxd、mp3、mpg、avi、dll、exe、gif、jpg、bmp這些類型的檔案,在其中尋找有效的電子郵件地址。
Subject: Re[2]: our private photos ######(######為隨機信息)
郵件的內容為:
Hello Dear!, Finally i've found possibility to right u,my lovely girl :) All our photos which i've made at the beach (even when u're without ur bh:)) photos are great! This evening i'll come and we'll make the best SEX :) Right now enjoy the photos. Kiss,James. [random sequence of letters] |
病毒附屬檔案為:photos.zip
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了“小郵差變種C(Worm.Mimail.C)”病毒。
小郵差變種I
警惕程度:★★★★
發作時間:隨機
病毒類型:蠕蟲病毒
傳播途徑:郵件
依賴系統: WINDOWS 9X/NT/2000/XP
病毒介紹:
病毒的特性、發現與清除:
⒈ 該病毒運行後首先將自己複製到system目錄下路徑為:%system32%svchost32.exe,用戶可以在計算機中查找該病毒檔案,找到後刪除。
⒉ 病毒會修改註冊表的自啟動項:“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”,在其中添加:“SvcHost32”的病毒鍵值,用戶可以利用REGEDIT等註冊表編輯工具查找該病毒鍵值,找到後刪除。
⒊ 病毒會放出c:\pp.hta和c:\pp.gif檔案並用IE啟動該hta檔案,(該腳本為一個假的信用卡信息 填寫欄),病毒還會利用該腳本把用戶輸入的信用卡信息記錄到c:\ppinfo.sys檔案內,用戶可查找這幾個檔案,找到後刪除。
⒋ 病毒會搜尋:com. Wav. Cab. Pdf. Rar. Zip. Tif. Psd. Ocx. Vxd. Mp3. Mpg. Avi. Dll. Exe. Gif.jpg. Bmp這些類型的檔案,在其中尋找有效的電子郵件地址,將這些地址記錄到el388.tmp檔案里。
⒌ 病毒會通過向外傳送帶毒郵件的方式來阻塞網路,
郵件標題為:
ACCOUNT EXPIRES
內容為:
如果用戶收到有以上內容的郵件,請直接刪除該郵件,不要運行附屬檔案。
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了“小郵差變種I(Worm.Mimail.I)”病毒,
小郵差變種L/M
警惕程度:★★★★
發作時間:隨機
病毒類型:蠕蟲病毒
傳播途徑:郵件
依賴系統: WINDOWS 9X/NT/2000/XP
病毒介紹:
2003年12月3日,惡性蠕蟲病毒“小郵差”出現第12個變種,瑞星全球反病毒監測網在國內率先截獲了該病毒並進行了升級,該病毒被命名為:“小郵差變種L(Worm.Mimail.L)”。該病毒會自動搜尋受感染電腦里儲存的電子郵件地址,傳送的病毒郵件的標題為:“Re[2]We are going to bill your credit card”,附屬檔案名稱為:“wendy.zip”,如果您看到郵件里有zip格式的附屬檔案,請不要輕意運行。由於該病毒總是通過改變病毒郵件的標題和附屬檔案信息來產生新的變種,因此廣大的電腦用戶要提高自身的安全意識,不要輕意中招。
2003年12月5日,“小郵差變種M(Worm.Mimail.m)”病毒落網,該病毒運行時會將自己複製到Windows目錄下命名為:netmon.exe,然後修改註冊表進行自啟動。病毒運行後建立多個執行緒,在幾十種類型的檔案中搜尋有效的郵件地址,然後向外大量傳送帶毒郵件,阻塞網路。
病毒的特性、發現與清除:
注意:%system32%是一個變數,它是指它指的是NT作業系統安裝目錄中的系統目錄,默認是:“c:\Winnt\system32”。%windir%是一個變得,它是指作業系統的安裝目錄,默認是:“c:\Winnt”或“c:\windows”。
⒉ “小郵差變種L(Worm.Mimail.L)”病毒會修改註冊表的自啟動項:“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”,在其中添加:“SvcHost32”的病毒鍵值,“小郵差變種M(Worm.Mimail.M)”病毒則會在自啟動項中添加:“France”的病毒鍵值,用戶可以利用REGEDIT等註冊表編輯工具查找該病毒鍵值,找到後刪除。
