锟斤拷锟斤拷锟角匡拷---锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟届工锟斤拷息锟斤拷锟斤拷系统

当前位置:首页 >> 新闻 >> IT新闻 >> 正文


	我国出现“小邮差”（Worm_Mimail.A）病毒 (gx.chinavnet.com 互联星空 2003年08月07日12:45:41)
	“小邮差”（Worm_Mimail.A）病毒于8月1日首次出现，该病毒目前在美国、欧洲传播较为迅速，我国用户也出现了感染案例，该用户由于打开了病毒邮件，遭受了该病毒的感染。遭受该病毒感染后，病毒对不断向外发送染毒邮件，导致病毒进一步扩散，同时系统内存被大量占用，使得系统运行速度减慢。该病毒的传播利用了已知的漏洞，相关漏洞查询请参见 MS02-15 http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/security/bulletin/MS02-015.asp 以及MS03-14 http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/security/bulletin/MS03-014.asp 并请到以下链接下载升级文件 http://www.microsoft.com/windows/ie/downloads/critical/ 330994/default.asp 国家计算机病毒应急处理中心提醒广大用户，及时下载安装补丁程序。留意该病毒的主要特征，遇到此类邮件不要打开，应立即删除。该病毒的技术报告如下：病毒名称：“小邮差”（Worm_Mimail.A）病毒类型：蠕虫感染系统：Windows 95/98/Me/NT/2000/XP 病毒特征：该病毒的传播利用了已知的漏洞，病毒同时使用UPX进行压缩。 1、通过电子邮件进行传播病毒通过自身的SMTP引擎传播，通过电子邮件进行传播时，伪装成管理员发给用户的邮件，并声称该用户所使用的电子邮件地址将要到期，诱骗用户打开邮件附件，从而感染病毒。病毒邮件格式如下：发信人：admin@%x%（%x%为可变的，经常伪装成邮件用户所在域）主题：your account %y%（%y%为任意字符）内容： Hello there, I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details. Best regards,Administrator %z%（%z%为任意字符）附件：message.zip 附件message.zip包含一个HTML文件和一个经UPX压缩的Win32可执行文件。当打开HTML时，恶意程序代码就被执行了（利用Internet Explorer的漏洞），之后.exe文件被执行，该程序为病毒的主体。除了以下18种类型的文件之外，病毒在被感染用户的计算机上搜索剩余所有类型的文件，寻找可用的电子邮件地址，并向这些地址发送带有病毒的电子邮件。这18种类型的文件包括.avi、.bmp、.cab、.com、.dll、.exe、.gif、.jpg、.mp3、 .mpg、.ocx、.pdf、.psd、.rar、.tif、.vxd、.wav和.zip。 2、生成病毒文件病毒一旦运行，蠕虫在Windows文件夹中生成自身拷贝，并命名为videodrv.exe。（Windows目录通常为C:Windows或C:WINNT），另外，病毒同时在Windows目录中生成下列三个文件： eml.tmp--从本地计算机中搜集的邮件地址列表。 zip.tmp--message.zip的临时文件，病毒发送的邮件时使用的zip附件 exe.tmp--HTML以及经UPX压缩的Win32 exe 文件。 3、修改注册表病毒对注册表进行修改，使得病毒能够随系统启动而自动运行 HKEY_Local_MachineSoftwareMicrosoftWindows CurrentVersionRun "VideoDriver"="%Windows% videodrv.exe" 病毒还创建以下注册表项目 HKEY_Local_MachineSoftware>Microsoft>Code Store Database>Distribution Units {11111111-1111-1111-1111-111111111111} 清除病毒的相关操作 1、删除病毒电子邮件 2、终止病毒进程 Windows 9x/ME系统，同时按下CTRL+ALT+DELETE键， Windows NT/2000/XP系统，同时按下CTRL+SHIFT+ESC键，选中正在运行的病毒进程Videodrv.exe，并终止该进程的运行。 3、对注册表进行恢复（1）点击“开始->运行”，输入regedit.exe并回车（2）依次双击左侧面板中的 HKEY_Local_MachineSoftware MicrosoftWindowsCurrentVersionRun，在右侧列表中查找并删除以下项目："VideoDriver"="%Windows%videodrv.exe" （其中%Windows%为Windows目录，通常为C:Windows或C:WINNT）（3）依次双击左侧面板中的 HKEY_LOCAL_MACHINE>SOFTWARE> Microsoft>Code Store Database>Distribution Units，在右侧列表中查找并删除以下项目：{11111111-1111-1111-1111-111111111111} 4、删除病毒文件查找病毒文件eml.tmp、zip.tmp、exe.tmp并删除。 5、使用杀毒软件对计算机进行全面的病毒清除（国家计算机病毒应急处理中心）来源:新华网责编:刘清

科幻小說