小邮差病毒

自200来自3年11月1日销始，瑞星截获的蠕虫病毒，是一种针对 WINDOWS 9X/NT/2000/XP系统360百科进行攻击的病毒。

• 中文名称 小邮差病毒
• 发作时间 随机
• 病毒类型: 蠕虫病毒
• 传播方式 网络

介绍

　　病毒名称:小邮差

　　警惕程度:★★★★

　　发作时间:随机

　　病毒类型:蠕虫病毒

　　传播方式:网络

　　感染对象:网络

　　依赖系统: WINDOWS 9X/NT/2000/XP

　　病毒会在除了以下扩展名的所有类型的文件中搜索mail地址:".bmp",".jpg",".gif",".exe",".dll",".av培胞灯行陈被气视抓i",

　　".mpg"".mp3",".vxd",".ocx",".psd",".tif",".zip",".rar" ".pdf",".cab",".wav",".com"，如果找到有效的电子邮件地址，则病毒会使用自己的邮件发送引擎发送邮件标题为:"your account ###### "(######可变串)，附件为该跳望殖念:Message.zi来自p的病毒邮件，由于病毒利用了微软的漏洞，以至于用户只要预览该病毒邮件，病毒便会自动运行，给用户造成危害。

病毒行为

　　⒈病毒会将自己拷贝到WINDOWS的安装目录，复本名字为Videodrv.exe。%Windir%\\Videodrv.ex额路磁问e

　　⒉添加注册表中家离距听乱剧的启动项，使病毒能随360百科机启动

　　HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run"VideoDriver"=%WINDOWS%\\videodrv.exe"

　　⒊病毒激活后会在WINDOWS安装目录下生成以下三个文件

　　4、病毒在得知硫参鲁利把系统已经连接到Internet以后，开始在受感染系统中收集电子邮件地址。病毒会搜寻硬盘磁月均穿上所有文件的文件内济龙继容，但不包括具有以下扩展名的文件:

　　病毒将收集到的电子邮件地址保存在以上提到的eml.tmp文件中，并在注册表添加以下键值:

　　HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Code Store Database\\Distribution 预龙沙原Units\\{11111111-1111-1111-1111}

　　⒌病毒利用自带的SMTP引擎，向收集来的电子邮件地址发送带毒邮件。病毒邮件特征如下:

　　发信人: admin@ (病毒为了加强期期骗性，将发信人地址的域名改为受攻击邮件地址的域名)

　　主题: your account "受攻击邮件地址的用户名"

　　正文:

　　附件: Message.zip

　　们稳安孩走免门府王划⒍Mssage.z证妈找ip文件中的message.htm文件丰利用IE浏览器的漏洞，会自动释放病毒程序的到IE的临时文件夹，名字为Foo.ex权商须传右满依e，并立即执行它。

解决方案

　　⒈ 病毒运行来自后会将名为Videodrv.exe的病毒体复制到windows目录下，并产生多个病开毒相关文件:Zip.tmp、Exe.tmp、 Eml.tmp。如果用户发现上述提到的病毒文件，则证明已经被感染，可直接将这些病毒文件删除。

　　⒉ 病毒会通过修改注册表的自启动项来进行自启动标影一失，病毒会修改:HKEY_LOCAL_阿本乡今务代饭处品蛋根MACHINE\结发刑总可总常太\SOFTWARE360百科\\Microsoft\\喜间坏Windows\\CurrentVersi值on\\Run，在其中加入名为先西互:"VideoDriver"的注册表键值，内容是病毒文件所甲河到低头以在的路径。用户可以用REGEDIT等注册表编辑工具直接删除病毒产生的这个，以防止病毒进行自启动。

　　⒊ 病控独皇督衣德毒会发送邮件标题为:your account ## (激入直务主##为可变串)，附件为:Message.zip的病毒邮件， 同时病毒还利用微软漏洞，使得用户只要预览该邮件就会中毒。另步队挥素浓听迫娘使体外Message.zip的附件中中有一个Message.htm文件，当用户预览该文件时，病毒便会利用漏洞将名为foo.exe动双的病毒体复制到Internet临时文件目录中，并将其运行。用户可以先到上面提到的地址打一个邮件漏洞的，以防然策升育止病毒运行，然后再查看收件箱中是否有上述提到的邮件，最后将提到的"foo.exe"文件删除。

对比

小邮差变种

　　小邮差变种c

　　发作时间:随机

　　病毒类型:蠕虫源放类师病毒

　　警惕程度:★★★★

　　传播途径:邮件

　　依赖系统: WINDOWS 9X/NT/2000/XP

　　病毒介绍:

　　2003年11月1日，瑞星全球反病毒监测网截获了恶性蠕虫"小邮差"病毒的最新变种:"小邮差变种C(致准呀Worm.Mimail.C)"，该病毒会随机变换邮件标题、向外发送大量邮件来阻塞网络，病毒还会利用被感染的机器向一些网站发起"拒绝服务攻击(DoS)"，导致整个网络瘫痪。

　　病毒运行后会大量消耗网络资源，使网速变慢。据分析，感染了该病毒的电脑，系统目录下会出现名为"Netwatch.exe"的病毒文件，注册表的自启动项中会出现名为"NetWatch32"的病毒键值，经常上网的用户可以通过查看以上现象，来判断自己的电脑是否感染病毒，如果出现，请尽快采取相关措施，以防止病毒继续泛滥。

　　该病毒主要通过邮件传播，搜索18种类型的文件，在其中寻找有效的邮件地址，使用自己的邮件发送引擎，向这些地址发送大量标题为:"our private photos ###### "(######为随机串)，附件为:photos.zip的病毒邮件，如果用户收到以上内容的邮件时，请直接删除，千万不要打开和预览，因为该病毒利用了微软的邮件漏洞，就连预览也能使病毒运行。

　　病毒的特性、发现与清除:

　　⒈ 病毒运行时会将自己复制一份到WINDOWS安装目录下并命名为:Netwatch.exe，用户可以在计算机中查找该病毒文件，找到后删除。

　　⒉ 病毒会修改注册表的自启动项:"HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run"，在其中添加:"NetWatch32 = %Windir%\\netwatch.exe"的病毒键值，用户可以利用REGEDIT等注册表编辑工具查找该病毒键值，找到后删除。

　　⒊ 病毒会搜索:com、wav、cab、pdf、rar、zip、tif、psd、ocx 、vxd、mp3、mpg、avi、dll、exe、gif、jpg、bmp这些类型的文件，在其中寻找有效的电子邮件地址。

　　⒋ 病毒会在WINDOWS安装目录下生成一个名为:eml.tmp的文件，用来存放所有邮件地址，用户可以查找并删除该文件。

　　⒌ 该病毒运行时会同时开辟15个线程，随机攻击某些网址，造成网络瘫痪。

　　⒍ 病毒会通过向外发送带毒邮件的方式来阻塞网络，病毒邮件的标题为:

　　Subject: Re[2]: our private photos ######(######为随机信息)

　　邮件的内容为:

　　病毒附件为:photos.zip

　　如果用户收到有以上内容的邮件，请直接删除该邮件，不要运行附件。

　　用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了"小邮差变种C(Worm.Mimail.C)"病毒。

　　小邮差变种I

　　警惕程度:★★★★

　　发作时间:随机

　　病毒类型:蠕虫病毒

　　传播途径:邮件

　　依赖系统: WINDOWS 9X/NT/2000/XP

　　病毒介绍:

　　2003年11月17日，瑞星全球反病毒监测网截获了恶性蠕虫"小邮差"病毒的变种:"小邮差变种I(Worm.Mimail.I)"，据了解，该病毒是"小邮差"病毒家族的第9个变种，该病毒变种并不象上几个病毒变种那样攻击某些网站，而是伪装成信用卡信息填写栏来骗取用户的信用卡信息，经常进行线上交易的用户要特别注意该病毒的动向，以免中招，给自己造成不必要的经济损失。

　　病毒运行后会释放出c:\\pp.hta、c:\\pp.gif两个病毒文件，并用运行其中的一个文件，这时就会出现一个假的信用卡信息填写栏，如果用户信以为真而填写上自己的信用卡信息的话，这些信息就会被病毒保存在c:\\ppinfo.sys文件内，然后通过网络发送到病毒作者指定的信箱。另外该病毒会搜索用户电脑中的E-MAIL地址，向外发送标题为:" ACCOUNT EXPIRES"，附件为的带毒邮件，使病毒在网上大量泛滥，导致网络阻塞。

　　病毒的特性、发现与清除:

　　⒈ 该病毒运行后首先将自己复制到system目录下路径为:%system32%svchost32.exe，用户可以在计算机中查找该病毒文件，找到后删除。

　　注意:%system32%一个变量，它是指它指的是NT操作系统安装目录中的系统目录，默认是:"c:\\Winnt\\system32"。

　　⒉ 病毒会修改注册表的自启动项:"HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run"，在其中添加:"SvcHost32"的病毒键值，用户可以利用REGEDIT等注册表编辑工具查找该病毒键值，找到后删除。

　　⒊ 病毒会放出c:\\pp.hta和c:\\pp.gif文件并用IE启动该hta文件，(该脚本为一个假的信用卡信息 填写栏)，病毒还会利用该脚本把用户输入的信用卡信息记录到c:\\ppinfo.sys文件内，用户可查找这几个文件，找到后删除。

　　⒋ 病毒会搜索:com. Wav. Cab. Pdf. Rar. Zip. Tif. Psd. Ocx. Vxd. Mp3. Mpg. Avi. Dll. Exe. Gif.jpg. Bmp这些类型的文件，在其中寻找有效的电子邮件地址，将这些地址记录到el388.tmp文件里。

　　⒌ 病毒会通过向外发送带毒邮件的方式来阻塞网络，

　　邮件标题为:

　　ACCOUNT EXPIRES

　　内容为:

　　如果用户收到有以上内容的邮件，请直接删除该邮件，不要运行附件。

　　用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了"小邮差变种I(Worm.Mimail.I)"病毒，

　　小邮差变种L/M

　　警惕程度:★★★★

　　发作时间:随机

　　病毒类型:蠕虫病毒

　　传播途径:邮件

　　依赖系统: WINDOWS 9X/NT/2000/XP

　　病毒介绍:

　　2003年12月3日，恶性蠕虫病毒"小邮差"出现第12个变种，瑞星全球反病毒监测网在国内率先截获了该病毒并进行了升级，该病毒被命名为:"小邮差变种L(Worm.Mimail.L)"。该病毒会自动搜索受感染电脑里储存的电子邮件地址，发送的病毒邮件的标题为:"Re[2]We are going to bill your credit card"，附件名称为:"wendy.zip"，如果您看到邮件里有zip格式的附件，请不要轻意运行。由于该病毒总是通过改变病毒邮件的标题和附件信息来产生新的变种，因此广大的电脑用户要提高自身的安全意识，不要轻意中招。

　　2003年12月5日，"小邮差变种M(Worm.Mimail.m)"病毒落网，该病毒运行时会将自己复制到Windows目录下命名为:netmon.exe，然后修改注册表进行自启动。病毒运行后建立多个线程，在几十种类型的文件中搜索有效的邮件地址，然后向外大量发送带毒邮件，阻塞网络。

　　病毒的特性、发现与清除:

　　⒈ "小邮差变种L(Worm.Mimail.L)"病毒运行后首先将自己复制到system目录下路径为:%system32%svchost32.exe，而"小邮差变种M(Worm.Mimail.M)"病毒运行后会将自己复制到system目录下路径为:%WINDIR%\\netmon.exe，用户可以在计算机中查找该病毒文件，找到后删除。

　　注意:%system32%是一个变量，它是指它指的是NT操作系统安装目录中的系统目录，默认是:"c:\\Winnt\\system32"。%windir%是一个变得，它是指操作系统的安装目录，默认是:"c:\\Winnt"或"c:\\windows"。

　　⒉ "小邮差变种L(Worm.Mimail.L)"病毒会修改注册表的自启动项:"HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run"，在其中添加:"SvcHost32"的病毒键值，"小邮差变种M(Worm.Mimail.M)"病毒则会在自启动项中添加:"France"的病毒键值，用户可以利用REGEDIT等注册表编辑工具查找该病毒键值，找到后删除。

　　⒊ 病毒会搜索:com. Wav. Cab. Pdf. Rar. Zip. Tif. Psd. Ocx. Vxd. Mp3. Mpg. Avi. Dll. Exe. Gif.jpg. Bmp这些类型的文件，在其中寻找有效的电子邮件地址，然后发送内容可能为不健康文本或某些网站的链接，附件是病毒体的带毒邮件，并阻塞网络。

　　用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了"小邮差变种L(Worm.Mimail.L)"或"小邮差变种M(Worm.Mimail.M)"病毒。