病毒名称:
Worm.Mimail.c.enc
类别: 蠕虫病毒
病毒资料:
破坏方法:
这个病毒是Worm.Mimail的变种,都是通过邮件进行病毒传播,但是它比Worm.Mimail传播速度更快,同时更具有攻击性。
1.首先拷贝自己成为%WINDOWS%\netwatch.exe,释放
zip.tmp(保存作为邮件附件的压缩包)
exe.tmp(保存病毒体自身)
2.在注册表run里面加入
"NetWatch32" = "%Windows%\netwatch.exe"
3.搜索特定目录下除了特定类型之外的文件,从其中提取email地址保存到%Windows%\eml.tmp
目录如下:
C:\Program files
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows CurrentVersion\EXPlorer\Shell Folders
特定类型是指扩展名是以下字符的文件:
com
wav
cab
rar
zip
tif
psd
ocx
vxd
mp3
mpg
avi
dll
exe
gif
jpg
bmp
4.通过访问www.Google.com测试网络连接
5.通过自带的smtp引擎发送邮件
发件人: james@
收件人: eml.tmp中的邮件地址
标题: Re[2]: our private photos [随机信息]
正文:
Hello Dear!,
Finally i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're without ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)
Right now enjoy the photos.
Kiss, James.
[随机信息]
附件: photos.zip
6.对以下站点发起DOS攻击
darkprofits.net
www.darkprofits.net
darkprofits.com
www.darkprofits.com
修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows CurrentVersion\Run
"NetWatch32" = "%Windir%\netwatch.exe"
传播方法:
1.通过邮件传播,
收件人地址为: eml.tmp中的收件人
发件人地址为: Re[2]: our private photos [随机文字]
邮件附件为: photos.zip
病毒的清除法:
使用光华反病毒软件,彻底删除。
手动清除,请采用如下步骤:
1、查找并结束病毒进程:
开始-〉运行-〉taskmgr.exe,结束名为photos.jpg.exe ,netwatch.exe的进程。
2、清理注册表中的病毒自启动项。
开始-〉运行-〉regedit.exe,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\Run下的键值"NetWatch32" = "%Windir%\netwatch.exe"
3、删除以下病毒文件和病毒生成的文件:
C:\Documents and Settings\\Local Settings\Temporary Internet Files\photos.jpg.exe
%Windir%\Netwatch.exe
%Windir%\eml.tmp
%Windir%\Zip.tmp
%Windir%\Exe.tmp
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-11-2
