|
楼主 |
发表于 2004-1-6 20:34
|
显示全部楼层
<TABLE width="100%" border=0>
<TBODY>
<TR>
<TD>
<B>常用别名:</B><FONT color=#ff0000>“小邮差”<FONT color=#000000>,</FONT>“邮米”</FONT>,<FONT color=#ff0000>mimail</FONT>等
<B>危害等级:4级</B>
</TD>
<TD>
<DIV align=right> </DIV></TD></TR></TBODY></TABLE><BR><BR>
< style="LINE-HEIGHT: 150%"><B>危害综述:<BR> </B>8月2日“小邮差”首次在国内现身,该病毒来自国外,它不停的发送带毒电子邮件,造成网络资源被大量浪费。该病毒并未由于其后横扫全国的“冲击波”病毒销声匿迹,反而不断发展,迄今为止已经发展了9个变种,并且在全球流行病毒排行中节节上升。
< style="LINE-HEIGHT: 150%"> 该病毒仍然主要通过电子邮件传播,不过它会在更多的文件类型(目前为止是最多的)中收集邮件地址,存放在如Zip.tmp、Exe.tmp、Eml.tmp之类的文件中,然后向找到的地址发送带毒邮件。
< style="LINE-HEIGHT: 150%"> 早期变种发出的带毒邮件会伪装成警告用户邮件帐号过期的通知信,骗取用户打开ZIP形式的附件,然后利用微软今年4月公布的OE漏洞,将后缀为.htm的病毒释放到本地的IE临时文件夹中,自动将其运行。后期的变种更进一步,会显示让用户输入其信用卡信息的网页,将用户输入的信息保存,随后发到几个指定的电子邮箱里。该病毒还会对某些网站随机发起拒绝服务(DoS)攻击。
< style="LINE-HEIGHT: 150%"><b>病毒名称:</b>Wrom.MiMail<BR> <B>病毒类型:</B>蠕虫<BR> <B>病毒长度:</B>19824<BR> <B>危害级别:</B>中<BR> <B>传播速度:</B>高<BR><BR> <B>技术特征</B>:<BR><BR> 该病毒通过大量发送带毒邮件来进行传播。邮件附件中是一个包含有HTM文件的ZIP压缩包。病毒源码包含在HTM文件中。HTM文件的内容是针对IE浏览器的漏洞特别编写的,只要打开HTM文件就会释放病毒到本地,并自动运行病毒程序。病毒主程序采用UPX压缩。<BR><BR> <B>病毒行为</B>:<BR><BR> 1、病毒会将自己拷贝到WINDOWS的安装目录,复本名字为Videodrv.exe。%Windir%\Videodrv.exe<BR><BR> 2、添加注册表中的启动项,使病毒能随机启动<BR><BR> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"VideoDriver"=%WINDOWS%\videodrv.exe"<BR><BR> 3、病毒激活后会在WINDOWS安装目录下生成以下三个文件<BR><BR> eml.tmp 用于保存病毒收集到的电子邮件地址<BR><BR> exe.tmp 病毒附件message.zip的临时文件<BR><BR> zip.tmp message.zip包中message.htm文件的临时文件<BR><BR> 4、病毒在得知系统已经连接到Internet以后,开始在受感染系统中收集电子邮件地址。病毒会搜寻硬盘上所有文件的文件内容,但不包括具有以下扩展名的文件:avi bmp cab com dll exe gif jpg mp3 mpg ocx pdf psd rar tif vxd wav zip<BR><BR> 病毒将收集到的电子邮件地址保存在以上提到的eml.tmp文件中,并在注册表添加以下键值:<BR><BR> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111111111} <BR><BR> 5、病毒利用自带的SMTP引擎,向收集来的电子邮件地址发送带毒邮件。病毒邮件特征如下:<BR><BR> > 发信人: admin@<ADMIN@UOUR_DOMAIN> (病毒为了加强期期骗性,将发信人地址的域名改为受攻击邮件地址的域名)<BR><BR> 主题: your account “受攻击邮件地址的用户名”<BR><BR> 正文:<BR><BR> Hello there,<BR><BR> I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details. <BR><BR> Best regards,<BR><BR> Administrator<BR><BR> 附件: Message.zip<BR><BR> 6、Mssage.zip文件中的message.htm文件利用IE浏览器的漏洞,会自动释放病毒程序的到IE的临时文件夹,名字为Foo.exe,并立即执行它。<BR><BR> 如果您的系统还未打上最新补丁来更正IE浏览器的漏洞,请到以下地址下载相关补丁程序:http://support.microsoft.com/default.aspx?scid=kb;en-us;330994 <BR clear=all> 发作时间:随机<BR> 病毒类型:蠕虫病毒 <BR>
<div class=HtmlCode><!-- Script 代码开始 --><br><br><!-- Script 代码结束 --></div>
警惕程度:★★★★<BR> 传播途径:邮件<BR> 依赖系统: WINDOWS 9X/NT/2000/XP <BR> 病毒介绍:<BR><BR> 11月1日,截获了恶性蠕虫“小邮差”病毒的最新变种:“小邮差变种C(Worm.Mimail.C)”,该病毒会随机变换邮件标题、向外发送大量邮件来阻塞网络,病毒还会利用被感染的机器向一些网站发起“拒绝服务攻击(DoS)”,导致整个网络瘫痪。<BR><BR> 病毒运行后会大量消耗网络资源,使网速变慢。据分析,感染了该病毒的电脑,系统目录下会出现名为“Netwatch.exe”的病毒文件,注册表的自启动项中会出现名为“NetWatch32”的病毒键值,经常上网的用户可以通过查看以上现象,来判断自己的电脑是否感染病毒,如果出现,请尽快采取相关措施,以防止病毒继续泛滥。<BR><BR> 该病毒主要通过邮件传播,搜索18种类型的文件,在其中寻找有效的邮件地址,使用自己的邮件发送引擎,向这些地址发送大量标题为:“our private photos ###### ”(######为随机串),附件为:photos.zip的病毒邮件,如果用户收到以上内容的邮件时,请直接删除,千万不要打开和预览,因为该病毒利用了微软的邮件漏洞,就连预览也能使病毒运行。<BR><BR> <FONT color=red>病毒的特性、发现与清除:</FONT><BR><BR> 1. 病毒运行时会将自己复制一份到WINDOWS安装目录下并命名为:Netwatch.exe,用户可以在计算机中查找该病毒文件,找到后删除。<BR><BR> 2. 病毒会修改注册表的自启动项:“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”,在其中添加:“NetWatch32 = %Windir%\netwatch.exe”的病毒键值,用户可以利用REGEDIT等注册表编辑工具查找该病毒键值,找到后删除。<BR><BR> 3. 病毒会搜索:com、wav、cab、pdf、rar、zip、tif、psd、ocx 、vxd、mp3、mpg、avi、dll、exe、gif、jpg、bmp这些类型的文件,在其中寻找有效的电子邮件地址。<BR> <BR> 4. 病毒会在WINDOWS安装目录下生成一个名为:eml.tmp的文件,用来存放所有邮件地址,用户可以查找并删除该文件。<BR><BR> 5. 该病毒运行时会同时开辟15个线程,随机攻击某些网址,造成网络瘫痪。<BR><BR> 6. 病毒会通过向外发送带毒邮件的方式来阻塞网络, 病毒邮件的标题为:<BR><BR> Subject: Re[2]: our private photos ######(######为随机信息)<BR><BR> 邮件的内容为:<BR><BR> Hello Dear!,<BR><BR> Finally i've found possibility to right u, my lovely girl :)<BR> All our photos which i've made at the beach (even when u're without ur bh:))<BR> photos are great! This evening i'll come and we'll make the best SEX :)<BR> Right now enjoy the photos.<BR><BR> Kiss, James.<BR> [random sequence of letters]<BR><BR> 病毒附件为:<BR><BR> photos.zip<BR><BR> 如果用户收到有以上内容的邮件,请直接删除该邮件,不要运行附件。<BR><BR> 用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“小邮差变种C(Worm.Mimail.C)”病毒。
< style="LINE-HEIGHT: 150%">病毒名称: Worm.Mimail.e<BR> 中文名称: 小邮差<BR>
<div class=HtmlCode><!-- Script 代码开始 --><br><br><!-- Script 代码结束 --></div>
威胁级别: 4C<BR> 受影响系统: Win9x/NT/2K/XP/2003<BR> 病毒类型: 蠕虫<BR> 病毒别名: I-Worm.Mimail.e[AVP]<BR> <BR> 该病毒大量发送病毒邮件,采用双后缀名的病毒主程序看起来像一个“屏保”文件,以此达到隐藏自己、欺骗用户的目的。DoS(拒绝服务式)攻击,大量浪费网络资源,可能导致被攻击的网站服务器瘫痪。<BR> <BR> <B>技术特征:</B><BR> <BR> 1、将自身复制为 %Windir%\cnfrm.exe<BR><BR> 病毒在 %Windir% 数据夹中创建另外两个文件: <BR> Zip.tmp:这个是 readnow.zip (10,912 字节) 的临时副本。 <BR> Exe.tmp:这个是 readnow.doc.scr (10,784 字节) 的临时副本。<BR> <BR> 2、添加注册表启动项,以随机启动<BR><BR> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run <BR> "SystemLoad32" = "%Windir%\cnfrm.exe"<BR> <BR> 3、病毒使用自带的SMTP服务器发送病毒邮件:<BR> a.从计算机中的所有文件收集电子邮件地址,拥有下列扩展名的文件除外: <BR> com <BR> wav <BR> cab <BR> pdf <BR> rar <BR> zip <BR> tif <BR> psd <BR> ocx <BR> vxd <BR> mp3 <BR> mpg <BR> avi <BR> dll <BR> exe <BR> gif <BR> jpg <BR> bmp <BR> <BR> 将所有的电子邮件地址写入文件 %Windir%\eml.tmp。<BR> <BR> b.邮件大多以“提醒”的关键词来引诱用户打开邮件附件,如:<BR> <BR> 寄件人:john@<CURRENT domain> (该地址可能是经过伪装的,使其看起来是从当前域名发出。)<BR> <BR> 主题: don't be late! <BR> 附件名:readnow.doc.scr<BR> 正文:<BR> Will meet tonight as we agreed, because on Wednesday I don't think I,ll make it,<BR> so don't be late. And yes, by the way here is the file you asked for.<BR> It,s all written there. See you.<BR> <BR> 4、通过连接 google.com 来测试是否存在有效 Internet 连接;<BR> <BR> 5、针对以下站点发起DoS(拒绝服务)攻击,阻塞网络。<BR> spews.org<BR> spamhaus.org<BR> spamcop.net<BR>解决方案:<BR> <BR> 1、请升级金山毒霸到最新版,即可完全处理该病毒;<BR> <BR> 2、请注意不要打开陌生人的邮件,特别是告知附件为“屏保”文件的邮件;<BR> 3、手工清除方法:<BR> <BR> a、关闭Windows Me、Windows XP、Windows 2003的“系统还原”功能;<BR> <BR> b、进入安全模式或者结束病毒进程:<BR><BR> Windows 95/98/Me:<BR> <BR> 重新启动计算机,并进入安全模式。<BR> <BR> Windows NT/2000/XP/2003:<BR> <BR> 打开进程管理器,找到名为“cnfrm.exe”的进程,并将其结束;<BR> <BR> c、清理注册表:<BR> <BR> 打开注册表,删除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的键值"SystemLoad32"="%Windir%\cnfrm.exe",关闭注册表;<BR> <BR> d、删除病毒文件:<BR> <BR> 将 %Windir% 目录下的 Zip.tmp、Exe.tmp、eml.tmp、cnfrm.exe 文件删除。<BR> <BR> <FONT color=red>专家提醒:</FONT><BR> <BR> 1、打开网络和病毒防火墙,为您的系统打上微软的最新补丁。杀病毒不如防病毒,只要防止住病毒进入的通道,就可彻底免除病毒带来的危害;<BR> <BR> 2、不随意打开陌生人的邮件。当今的病毒不再只是通过计算机来传播,病毒制作者会利用人们好奇的心理来骗取自己激活的机会,如前段时间的“911”蠕虫病毒,就是利用人们对“911”事件的关注心态,来骗取用户打开邮件,从而使用病毒获得激活进会。大量的木马和黑客程序都会以这种方式来获得运行权;<BR> 3、掌握一些相关的系统操作知识,这样可以方便、及时的发现新病毒。
<DIV align=center><SPAN id=zl_550></SPAN></DIV>
< style="LINE-HEIGHT: 150%"><b><FONT color=#339900>恶性病毒“小邮差”专偷信用卡号</FONT></b><BR> 反病毒专家昨天警告说,网上流行的“小邮差”病毒已经从“破坏分子”变成了“小偷”,专门窃取电脑用户的信用卡号。<BR> 该病毒是“小邮差”病毒家族的第9个变种。“小邮差”最新变种已不再像以前那样攻击某些网站,而是会立刻弹出一个假的信用卡信息填写窗口,以此来盗取用户的信用卡密码。<BR> 金山反病毒工程师表示,该病毒已被订为4级恶性病毒,目前正在网络中蔓延,请不要随意打开陌生人的邮件。幸运的是,对英语不好的部分国人来说,该病毒似乎很难产生威胁,记者注意到,病毒弹出的信用卡信息填写窗口为纯英文格式。 |
|