“小邮差”(Worm.Mimail.e) 新变种分析报告
出处:金山毒霸安全资讯网 作者:金山毒霸安全资讯网 时间:2003-11-7 8:58:00
简单三步解决企业垃圾邮件难题
简单三步解决企业垃圾邮件难题
病毒名称: Worm.Mimail.e
中文名称: 小邮差
威胁级别: 4C
受影响系统: Win9x/NT/2K/XP/2003
病毒类型: 蠕虫
病毒别名: I-Worm.Mimail.e[AVP]
该病毒大量发送病毒邮件,采用双后缀名的病毒主程序看起来像一个“屏保”文件,以此达到隐藏自己、欺骗用户的目的。DoS(拒绝服务式)攻击,大量浪费网络资源,可能导致被攻击的网站服务器瘫痪。
请立即升级金山毒霸病毒库到11月4日的版本,即可防止该病毒的危害。
技术特征:
1、将自身复制为 %Windir%\cnfrm.exe
病毒在 %Windir% 数据夹中创建另外两个文件:
Zip.tmp:这个是 readnow.zip (10,912 字节) 的临时副本。
Exe.tmp:这个是 readnow.doc.scr (10,784 字节) 的临时副本。
2、添加注册表启动项,以随机启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SystemLoad32" = "%Windir%\cnfrm.exe"
3、病毒使用自带的SMTP服务器发送病毒邮件:
a.从计算机中的所有文件收集电子邮件地址,拥有下列扩展名的文件除外:
com
wav
cab
pdf
rar
zip
tif
psd
ocx
vxd
mp3
mpg
avi
dll
exe
gif
jpg
bmp
将所有的电子邮件地址写入文件 %Windir%\eml.tmp。
b.邮件大多以“提醒”的关键词来引诱用户打开邮件附件,如:
寄件人:john@<current domain> (该地址可能是经过伪装的,使其看起来是从当前域名发出。)
主题: don't be late!
附件名:readnow.doc.scr
正文:
Will meet tonight as we agreed, because on Wednesday I don't think I,ll make it,
so don't be late. And yes, by the way here is the file you asked for.
It,s all written there. See you.
4、通过连接 google.com 来测试是否存在有效 Internet 连接;
5、针对以下站点发起DoS(拒绝服务)攻击,阻塞网络。
spews.org
spamhaus.org
spamcop.net
解决方案:
1、请升级金山毒霸到最新版,即可完全处理该病毒;
2、请注意不要打开陌生人的邮件,特别是告知附件为“屏保”文件的邮件;3、手工清除方法:
a、关闭Windows Me、Windows XP、Windows 2003的“系统还原”功能;
b、进入安全模式或者结束病毒进程:
Windows 95/98/Me:
重新启动计算机,并进入安全模式。
Windows NT/2000/XP/2003:
打开进程管理器,找到名为“cnfrm.exe”的进程,并将其结束;
c、清理注册表:
打开注册表,删除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的键值"SystemLoad32"="%Windir%\cnfrm.exe",关闭注册表;
d、删除病毒文件:
将 %Windir% 目录下的 Zip.tmp、Exe.tmp、eml.tmp、cnfrm.exe 文件删除。
中文名称: 小邮差
威胁级别: 4C
受影响系统: Win9x/NT/2K/XP/2003
病毒类型: 蠕虫
病毒别名: I-Worm.Mimail.e[AVP]
该病毒大量发送病毒邮件,采用双后缀名的病毒主程序看起来像一个“屏保”文件,以此达到隐藏自己、欺骗用户的目的。DoS(拒绝服务式)攻击,大量浪费网络资源,可能导致被攻击的网站服务器瘫痪。
请立即升级金山毒霸病毒库到11月4日的版本,即可防止该病毒的危害。
技术特征:
1、将自身复制为 %Windir%\cnfrm.exe
病毒在 %Windir% 数据夹中创建另外两个文件:
Zip.tmp:这个是 readnow.zip (10,912 字节) 的临时副本。
Exe.tmp:这个是 readnow.doc.scr (10,784 字节) 的临时副本。
2、添加注册表启动项,以随机启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SystemLoad32" = "%Windir%\cnfrm.exe"
3、病毒使用自带的SMTP服务器发送病毒邮件:
a.从计算机中的所有文件收集电子邮件地址,拥有下列扩展名的文件除外:
com
wav
cab
rar
zip
tif
psd
ocx
vxd
mp3
mpg
avi
dll
exe
gif
jpg
bmp
将所有的电子邮件地址写入文件 %Windir%\eml.tmp。
b.邮件大多以“提醒”的关键词来引诱用户打开邮件附件,如:
寄件人:john@<current domain> (该地址可能是经过伪装的,使其看起来是从当前域名发出。)
主题: don't be late!
附件名:readnow.doc.scr
正文:
Will meet tonight as we agreed, because on Wednesday I don't think I,ll make it,
so don't be late. And yes, by the way here is the file you asked for.
It,s all written there. See you.
4、通过连接 google.com 来测试是否存在有效 Internet 连接;
5、针对以下站点发起DoS(拒绝服务)攻击,阻塞网络。
spews.org
spamhaus.org
spamcop.net
解决方案:
1、请升级金山毒霸到最新版,即可完全处理该病毒;
2、请注意不要打开陌生人的邮件,特别是告知附件为“屏保”文件的邮件;3、手工清除方法:
a、关闭Windows Me、Windows XP、Windows 2003的“系统还原”功能;
b、进入安全模式或者结束病毒进程:
Windows 95/98/Me:
重新启动计算机,并进入安全模式。
Windows NT/2000/XP/2003:
打开进程管理器,找到名为“cnfrm.exe”的进程,并将其结束;
c、清理注册表:
打开注册表,删除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的键值"SystemLoad32"="%Windir%\cnfrm.exe",关闭注册表;
d、删除病毒文件:
将 %Windir% 目录下的 Zip.tmp、Exe.tmp、eml.tmp、cnfrm.exe 文件删除。
| 自由广告区 |
 |
 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |