“小郵差”(Worm.Mimail.e) 新變種分析報告

病毒名稱: Worm.Mimail.e
　　中文名稱: 小郵差
　　威脅級別: 4C
　　受影響系統: Win9x/NT/2K/XP/2003
　　病毒類型: 蠕蟲
　　病毒別名: I-Worm.Mimail.e[AVP]
　　
　　該病毒大量發送病毒郵件，采用雙后綴名的病毒主程序看起來像一個“屏?！蔽募?，以此達到隱藏自己、欺騙用戶的目的。DoS(拒絕服務式）攻擊，大量浪費網絡資源，可能導致被攻擊的網站服務器癱瘓。
　　
　　 請立即升級金山毒霸病毒庫到11月4日的版本，即可防止該病毒的危害。
　　
　　技術特征：
　　
　　 1、將自身復制為 %Windir%\cnfrm.exe
　　 病毒在 %Windir% 數據夾中創建另外兩個文件：
　　 Zip.tmp：這個是 readnow.zip (10,912 字節) 的臨時副本。
　　 Exe.tmp：這個是 readnow.doc.scr (10,784 字節) 的臨時副本。
　　
　　 2、添加注冊表啟動項，以隨機啟動
　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　 "SystemLoad32" = "%Windir%\cnfrm.exe"
　　
　　 3、病毒使用自帶的SMTP服務器發送病毒郵件：
　　 a.從計算機中的所有文件收集電子郵件地址，擁有下列擴展名的文件除外：
　　 com
　　 wav
　　 cab
　　 pdf
　　 rar
　　 zip
　　 tif
　　 psd
　　 ocx
　　 vxd
　　 mp3
　　 mpg
　　 avi
　　 dll
　　 exe
　　 gif
　　 jpg
　　 bmp
　　
　　 將所有的電子郵件地址寫入文件 %Windir%\eml.tmp。
　　
　　 b.郵件大多以“提醒”的關鍵詞來引誘用戶打開郵件附件，如：
　　
　　 寄件人：john@<current domain> （該地址可能是經過偽裝的，使其看起來是從當前域名發出。）
　　
　　 主題: don@#t be late!
　　 附件名:readnow.doc.scr
　　 正文:
　　 Will meet tonight as we agreed, because on Wednesday I don@#t think I,ll make it,
　　 so don@#t be late. And yes, by the way here is the file you asked for.
　　 It,s all written there. See you.
　　
　　 4、通過連接 來測試是否存在有效 Internet 連接；
　　
　　 5、針對以下站點發起DoS(拒絕服務）攻擊，阻塞網絡。
　　
　　
　　
　　
　　解決方案：
　　
　　 1、請升級金山毒霸到最新版，即可完全處理該病毒；
　　
　　 2、請注意不要打開陌生人的郵件，特別是告知附件為“屏?！蔽募泥]件；3、手工清除方法：
　　
　　 a、關閉Windows Me、Windows XP、Windows 2003的“系統還原”功能；
　　
　　 b、進入安全模式或者結束病毒進程：
　　 Windows 95/98/Me:
　　 重新啟動計算機，并進入安全模式。
　　 Windows NT/2000/XP/2003:
　　 打開進程管理器，找到名為“cnfrm.exe”的進程，并將其結束；
　　
　　 c、清理注冊表：
　　 打開注冊表，刪除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的鍵值"SystemLoad32"="%Windir%\cnfrm.exe"，關閉注冊表；
　　
　　 d、刪除病毒文件：
　　 將 %Windir% 目錄下的 Zip.tmp、Exe.tmp、eml.tmp、cnfrm.exe 文件刪除。

原文轉自：http://www.kjueaiud.com