該病毒主要通過郵件傳播,搜尋18種類型的檔案,在其中尋找有效的郵件地址,使用自己的郵件傳送引擎,向這些地址傳送大量標題為:“our private photos ###### ”(######為隨機串),附屬檔案為:photos.zip的病毒郵件,如果用戶收到以上內容的郵件時,請直接刪除,千萬不要打開和預覽,因為該病毒利用了微軟的郵件漏洞,就連預覽也能使病毒運行。
基本介紹
- 中文名:Worm.Mimail.C
- 知識庫編號:RSV0512285
- 內容分類:蠕蟲病毒
- 關鍵字:小郵差;Worm.Mimail.C
病毒參數,病毒介紹,病毒的特性、發現與清除,解決方案,
病毒參數
小郵差變種C(Worm.Mimail.C)病毒檔案
知識庫編號: RSV0512285
內容分類: 蠕蟲病毒
關鍵字: 小郵差;Worm.Mimail.C
適用作業系統:Windows 作業系統
適用作業系統補丁版本:全部補丁適用
小郵差變種C(Worm.Mimail.C)病毒檔案
病毒評估
發作時間:隨機
病毒類型:蠕蟲病毒
警惕程度:★★★★
傳播途徑:郵件
依賴系統: WINDOWS 9X/NT/2000/XP
病毒介紹
2003年11月1日,瑞星全球反病毒監測網截獲了惡性蠕蟲“小郵差”病毒的最新變種:“小郵差變種C(Worm.Mimail.C)”,該病毒會隨機變換郵件標題、向外傳送大量郵件來阻塞網路,病毒還會利用被感染的機器向一些網站發起“拒絕服務攻擊(DoS)”,導致整個網路癱瘓。
病毒運行後會大量消耗網路資源,使網速變慢。據分析,感染了該病毒的電腦,系統目錄下會出現名為“Netwatch.exe”的病毒檔案,註冊表的自啟動項中會出現名為“NetWatch32”的病毒鍵值,經常上網的用戶可以通過查看以上現象,來判斷自己的電腦是否感染病毒,如果出現,請儘快採取相關措施,以防止病毒繼續泛濫。
病毒的特性、發現與清除
1. 病毒運行時會將自己複製一份到WINDOWS安裝目錄下並命名為:Netwatch.exe,用戶可以在計算機中查找該病毒檔案,找到後刪除。
2. 病毒會修改註冊表的自啟動項:“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”,在其中添加:“NetWatch32 = %Windir%\netwatch.exe”的病毒鍵值,用戶可以利用REGEDIT等註冊表編輯工具查找該病毒鍵值,找到後刪除。
3. 病毒會搜尋:com、wav、cab、pdf、rar、zip、tif、psd、ocx 、vxd、mp3、mpg、avi、dll、exe、gif、jpg、bmp這些類型的檔案,在其中尋找有效的電子郵件地址。
4. 病毒會在WINDOWS安裝目錄下生成一個名為:eml.tmp的檔案,用來存放所有郵件地址,用戶可以查找並刪除該檔案。
5. 該病毒運行時會同時開闢15個執行緒,隨機攻擊某些網址,造成網路癱瘓。
6. 病毒會通過向外傳送帶毒郵件的方式來阻塞網路, 病毒郵件的標題為:
Subject: Re[2]: our private photos ######(######為隨機信息)
郵件的內容為:
Hello Dear!,
Finally i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're without ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)
Right now enjoy the photos.
Kiss, James.
[random sequence of letters]
病毒附屬檔案為:
photos.zip
如果用戶收到有以上內容的郵件,請直接刪除該郵件,不要運行附屬檔案。
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了“小郵差變種C(Worm.Mimail.C)”病毒。
解決方案
1、瑞星防毒軟體15.59.21版已可清除此病毒,目前瑞星用戶只需升級到最新版本即可徹底攔截此病毒。
