Worm.Mimail

2003年8月4日，瑞星全球反病毒監測網截獲了一個利用郵件漏洞進行傳播的蠕蟲病毒—“小郵差 (Worm.Mimail)”，該病毒會隨機變換病毒郵件標題，具有極大的誘惑性。該病毒本身被病毒作者用UPX壓縮工具壓縮過，只有12K大小，向外傳送病毒郵件時，不易被用戶查覺。病毒運行時會將自身拷貝到系統目錄下，並修改註冊表進行自啟動，在計算機下次啟動時，病毒便會自動運行。

病毒會在除了以下擴展名的所有類型的檔案中搜尋mail地址：".bmp",".jpg",".gif",".exe",".dll",".avi",

".mpg"".mp3",".vxd",".ocx",".psd",".tif",".zip",".rar" “.pdf",".cab",".wav",".com”，如果找到有效的電子郵件地址，則病毒會使用自己的郵件傳送引擎傳送郵件標題為：“your account ###### ”（######可變串），附屬檔案為：Message.zip的病毒郵件，由於病毒利用了微軟的漏洞，以至於用戶只要預覽該病毒郵件，病毒便會自動運行，給用戶造成危害。

此病毒會有如下特徵，如果用戶發現計算機中有這些特徵，則很有可能中了此病毒：

1. 病毒運行後會將名為Videodrv.exe的病毒體複製到windows目錄下，並產生多個病毒相關檔案：Zip.tmp、Exe.tmp、 Eml.tmp。如果用戶發現上述提到的病毒檔案，則證明已經被感染，可直接將這些病毒檔案刪除。

2. 病毒會通過修改註冊表的自啟動項來進行自啟動，病毒會修改： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，在其中加入名為：“VideoDriver”的註冊表鍵值，內容是病毒檔案所在的路徑。用戶可以用REGEDIT等註冊表編輯工具直接刪除病毒產生的這個鍵值，以防止病毒進行自啟動。

3. 病毒會傳送郵件標題為：your account ## （##為可變串），附屬檔案為：Message.zip的病毒郵件， 同時病毒還利用微軟漏洞，使得用戶只要預覽該郵件就會中毒。另外Message.zip的附屬檔案中中有一個Message.htm檔案，當用戶預覽該檔案時，病毒便會利用漏洞將名為foo.exe的病毒體複製到Internet臨時檔案目錄中，並將其運行。用戶可以先到上面提到的地址打一個郵件漏洞的補丁，以防止病毒運行，然後再查看收件箱中是否有上述提到的郵件，最後將提到的“foo.exe”檔案刪除。

用戶如果在自己的計算機中發現以上全部或部分現象，則很有可能中了小郵差（Worm.Mimail）病毒。

1、瑞星防毒軟體15.47之後的版本可徹底攔截此病毒。

2、使用小郵差病毒專殺工具進行查殺