病毒名称:Win32.Mimail.A (小邮差)
其它名称:W32.Mimail.A@mm(Symantec), W32/Mimail@MM (McAfee)
病毒属性:蠕虫病毒 危害性:低危害 流行程度:高
具体介绍:
Mimail.A是通过自带的SMTP引擎发病毒邮件进行传播的一种蠕虫病毒,蠕虫最初始的文件大小可能只有12,941字节。但由于蠕虫错误代码,每复制一次,蠕虫的大小都将增加536字节,蠕虫本身是个UPX压缩包。
病毒所发送的电子邮件特征如下:
『发信人』Admin@(接收者的域名)
『主题』Your account (随机的字目).
『附件』Message.zip
『正文』:
Hello there,
I would like to inform you about important
information regarding your email address. This email address will be expiring.
Please read attachment for details.
---
Best regards, Administrator
(random characters match those appended at the end of subject line)
邮件附件Message.zip中包括Message.html,此文件中含有一段利用已知的(MHTML URL Handler )系统漏洞的脚本代码。有关此漏洞的相关说明可参见:MS03-014 - http://www.microsoft.com/technet/security/bulletin/MS03-014.asp
一旦激活,蠕虫将复制它自己到Windows地址目录下命名为:VIDEODRV.EXE。并添加下面的注册表健值以便在Windows启动中调用:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
VideoDriver="%Windows %videodrv.exe"
注释:'%Windows%'是一个可变的参量,蠕虫会自动测定当前系统的文件夹名称,在Windows 2000 和 NT系统中目录名称是 C:Winnt,对于95,98 和ME,XP系统是 C:Windows
在蠕虫尝试开始启动工作线程之前,蠕虫使用主机的名字是www.google.com(使用"传回IP网址"("gethostbyname")命令,它将返回一个IP的通讯地址给予互联网主机的名字)来验证计算机是否链接到互联网,蠕虫还将搜索计算机中电子邮件地址,它搜索的文件夹位于:"C:Program Files"文件中并且显示这个文件夹的注册表键值:
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders
这个注册表键值通常包含着用户的"桌面、我的文档和其它默认文件夹"路径。
病毒将搜索以下扩展名的文件文件:
COM、 WAV、 CAB、 PDF、 RAR、 ZIP、 TIF、 PSD、 OCX、 VXD、 MP3、 MPG、 AVI、 DLL、 EXE、 GIF、 JPG、 BMP
收集到的电子邮件地址保存到Windows地址目录下EML.TMP文件中,蠕虫将使用它自己的SMTP引擎将其自身发送到这些地址中,发信人是伪造的"管理员"或者是很容易接受的域名,蠕虫会在邮件主题中添加一些随机产生的字符,以躲避 SPAM 对垃圾邮件的过滤。
