病毒名称: Worm.Mimail.e

　　中文名称: 小邮差

　　威胁级别: 4C

　　受影响系统: Win9x/NT/2K/XP/2003

　　病毒类型: 蠕虫

　　病毒别名: I-Worm.Mimail.e[AVP]

　　
该病毒大量发送病毒邮件，采用双后缀名的病毒主程序看起来像一个“屏保”文件，以此达到隐藏自己、欺骗用户的目的。DoS(拒绝服务式）攻击，大量浪费网络资源，可能导致被攻击的网站服务器瘫痪。

　　
请立即升级金山毒霸病毒库到11月4日的版本，即可防止该病毒的危害。

　　
技术特征：

　　
1、将自身复制为 %Windir%\cnfrm.exe

　　 病毒在 %Windir% 数据夹中创建另外两个文件：

　　 Zip.tmp：这个是 readnow.zip (10,912 字节) 的临时副本。

　　 Exe.tmp：这个是 readnow.doc.scr (10,784 字节) 的临时副本。

　　
2、添加注册表启动项，以随机启动

　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　 "SystemLoad32" = "%Windir%\cnfrm.exe"

　　
3、病毒使用自带的SMTP服务器发送病毒邮件：

　　 a.从计算机中的所有文件收集电子邮件地址，拥有下列扩展名的文件除外：

　　 com

　　 wav

　　 cab

　　 pdf

　　 rar

　　 zip

　　 tif

　　 psd

　　 ocx

　　 vxd

　　 mp3

　　 mpg

　　 avi

　　 dll

　　 exe

　　 gif

　　 jpg

　　 bmp

　　
将所有的电子邮件地址写入文件 %Windir%\eml.tmp。

　　
b.邮件大多以“提醒”的关键词来引诱用户打开邮件附件，如：

　　
寄件人：john@<current domain> （该地址可能是经过伪装的，使其看起来是从当前域名发出。）

　　
主题: don't be late!

　　 附件名:readnow.doc.scr

　　 正文:

　　 Will meet tonight as we agreed, because on Wednesday I don't think I,ll make it,

　　 so don't be late. And yes, by the way here is the file you asked for.

　　 It,s all written there. See you.

　　
4、通过连接 google.com 来测试是否存在有效 Internet 连接；

　　
5、针对以下站点发起DoS(拒绝服务）攻击，阻塞网络。

　　 spews.org

　　 spamhaus.org

　　 spamcop.net

　　
解决方案：

　　
1、请升级金山毒霸到最新版，即可完全处理该病毒；

　　
2、请注意不要打开陌生人的邮件，特别是告知附件为“屏保”文件的邮件；
[未结束]