Win32.Mimail.A

Mimail.A是通過自帶的SMTP引擎發病毒郵件進行傳播的一種蠕蟲病毒,蠕蟲最初始的檔案大小可能只有12,941位元組。但由於蠕蟲錯誤代碼,每複製一次,蠕蟲的大小都將增加536位元組,蠕蟲本身是個UPX壓縮檔。

基本介紹

  • 中文名:Win32.Mimail.A
  • 流行程度:高
  • 危害性:低危害
  • 病毒屬性:蠕蟲病毒
基本簡介,基本特徵,

基本簡介

病毒名稱:Win32.Mimail.A (小郵差)
其它名稱:W32.Mimail.A@mm (Symantec), W32/Mimail@MM (McAfee)

基本特徵

『發信人』Admin@(接收者的域名)
『主題』Your account (隨機的字目).
『附屬檔案』Message.zip
『正文』:
Hello there,
I would like to inform you about important
information regarding your email address. This email address will be expiring.
Please read attachment for details.
---
Best regards, Administrator
(random characters match those appended at the end of subject line)
郵件附屬檔案Message.zip中包括Message.html,此檔案中含有一段利用已知的(MHTML URL Handler )系統漏洞腳本代碼。
一旦激活,蠕蟲將複製它自己到Windows地址目錄下命名為:VIDEODRV.EXE。並添加下面的註冊表健值以便在Windows啟動中調用:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
VideoDriver="%Windows %\videodrv.exe"
注釋:'%Windows%'是一個可變的參量,蠕蟲會自動測定當前系統的資料夾名稱,在Windows 2000 和 NT系統中目錄名稱是 C:\Winnt,對於95,98 和ME,XP系統是 C:\Windows
蠕蟲嘗試開始啟動工作執行緒之前,蠕蟲使用主機的名字是google(使用"傳回IP網址"("gethostbyname")命令,它將返回一個IP的通訊地址給予網際網路主機的名字)來驗證計算機是否連結到網際網路,蠕蟲還將搜尋計算機中電子郵件地址,它搜尋的資料夾位於:"C:\Program Files"檔案中並且顯示這個資料夾的註冊表鍵值
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
這個註冊表鍵值通常包含著用戶的"桌面、我的文檔和其它默認資料夾"路徑。
病毒將搜尋以下擴展名的檔案檔案:
COM、 WAV、 CAB、 PDF、 RAR、 ZIP、 TIF、 PSD、 OCX、 VXD、 MP3、 MPG、 AVI、 DLL、 EXE、 GIF、 JPG、 BMP
收集到的電子郵件地址保存到Windows地址目錄下EML.TMP檔案中,蠕蟲將使用它自己的SMTP引擎將其自身傳送到這些地址中,發信人是偽造的"管理員"或者是很容易接受的域名,蠕蟲會在郵件主題中添加一些隨機產生的字元,以躲避 SPAM 對垃圾郵件的過濾。

相關詞條

熱門詞條

聯絡我們