“小郵差變種I”是“小郵差”病毒家族的第9個變種,該病毒變種並不象上幾個病毒變種那樣攻擊某些網站,而是偽裝成信用卡信息填寫欄來騙取用戶的信用卡信息,經常進行線上交易的用戶要特別注意該病毒的動向,以免中招,給自己造成不必要的經濟損失。
基本介紹
簡介,病毒介紹,發現清除,解決方案,
簡介
反病毒專家建議:建立良好的安全習慣,不打開可疑郵件和可疑網站;關閉或刪除系統中不需要的服務;很多病毒利用漏洞傳播,一定要及時給系統打補丁;安裝專業的防毒軟體進行實時監控,平時上網的時候一定要打開防病毒軟體的實時監控功能。
知識庫編號: RSV0512286
內容分類: 蠕蟲病毒
關鍵字: 小郵差;Worm.Mimail.I
適用作業系統:Windows 作業系統
適用作業系統補丁版本:全部補丁適用
“小郵差變種I”(Worm.Mimail.I)病毒檔案。
病毒評估
警惕程度:★★★★
發作時間:隨機
病毒類型:蠕蟲病毒
傳播途徑:郵件
依賴系統: WINDOWS 9X/NT/2000/XP
病毒介紹
2003年11月17日,瑞星全球反病毒監測網截獲了惡性蠕蟲“小郵差”病毒的最新變種:“小郵差變種I(Worm.Mimail.I)”,據了解,該病毒是“小郵差”病毒家族的第9個變種,該病毒變種並不象上幾個病毒變種那樣攻擊某些網站,而是偽裝成信用卡信息填寫欄來騙取用戶的信用卡信息,經常進行線上交易的用戶要特別注意該病毒的動向,以免中招,給自己造成不必要的經濟損失。
病毒運行後會釋放出c:\pp.hta、c:\pp.gif兩個病毒檔案,並用運行其中的一個檔案,這時就會出現一個假的信用卡信息填寫欄,如果用戶信以為真而填寫上自己的信用卡信息的話,這些信息就會被病毒保存在c:\ppinfo.sys檔案內,然後通過網路傳送到病毒作者指定的信箱。另外該病毒會搜尋用戶電腦中的E-MAIL地址,向外傳送標題為:“YOUR PAYPAL COM ACCOUNT EXPIRES”,附屬檔案為:paypal的帶毒郵件,使病毒在網上大量泛濫,導致網路阻塞。
發現清除
1. 該病毒運行後首先將自己複製到system目錄下路徑為:%system32%svchost32.exe,用戶可以在計算機中查找該病毒檔案,找到後刪除。
注意:%system32%一個變數,它是指它指的是NT作業系統安裝目錄中的系統目錄,默認是:“c:\Winnt\system32”。
2. 病毒會修改註冊表的自啟動項:“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”,在其中添加:“SvcHost32”的病毒鍵值,用戶可以利用REGEDIT等註冊表編輯工具查找該病毒鍵值,找到後刪除。
3. 病毒會放出c:\pp.hta和c:\pp.gif檔案並用IE啟動該hta檔案,(該腳本為一個假的信用卡信息 填寫欄),病毒還會利用該腳本把用戶輸入的信用卡信息記錄到c:\ppinfo.sys檔案內,用戶可查找這幾個檔案,找到後刪除。
4. 病毒會搜尋:com. Wav. Cab. Pdf. Rar. Zip. Tif. Psd. Ocx. Vxd. Mp3. Mpg. Avi. Dll. Exe. Gif.jpg. Bmp這些類型的檔案,在其中尋找有效的電子郵件地址,將這些地址記錄到el388.tmp檔案里。
5. 病毒會通過向外傳送帶毒郵件的方式來阻塞網路,
郵件標題為:?
YOUR PAYPAL COM ACCOUNT EXPIRES
內容為:?
Dear PayPal member,PayPal would like to inform you about some important
information regarding your PayPal account. This account, which is
associated with the email address.
Will be expiring within five business days.? We apologize for any inconvenience
that this may cause, but this is occurring because all of our customers
are required to update their account settings with their personal information…
We are taking these actions because we? are
implementing a new security policy on
our website to insure everyone's absolute? privacy. To avoid any interruption in
PayPal
services then you will need to run the? application that we have sent with this
email (see attachment) and follow the instructions.?
Please do not send your personal information through email, as it will not be as
secure IMPORTANT! If you do not update your
information with our secure application
within the next five business days then we will be forced to deactivate your
account and you will? not be able to use your PayPal account any longer.
It is strongly recommended that you? take a few minutes out of your busy
day and complete this now…
DO NOT REPLY TO THIS MESSAGE VIA EMAIL!
This mail is sent by an automated message
system and the reply will not be received?
Thank you for using PayPal
附屬檔案名:?
www.***paypal.com.scr ,如果用戶收到有以上內容的郵件,請直接刪除該郵件,不要運行附屬檔案。
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了“小郵差變種I(Worm.Mimail.I)”病毒。
解決方案
1、瑞星防毒軟體16.01版已可清除此病毒,目前瑞星用戶只需升級到最新版本即可徹底攔截此病毒。
