“小邮差”(Worm.Mimail)病毒早在几个月前就被发现了,该病毒会随机变换邮件标题、外发大量病毒邮件并阻塞网络,还会向一些网站发起“拒绝服务攻击”(DoS),导致整个网络瘫痪。
不过最近它一下子又新出了5个变种,广大网民必须提高警惕。这些新产生的病毒变种可以躲避反病毒软件的追踪,且变换了病毒产生的文件名和相关注册表键值。下面就以其中一种变种为例,介绍一下它们的特征及防治方法。
病毒名称:Worm.Mimail.e
中文名称:小邮差
受影响系统:Win9X/NT/2000/XP/2003
病毒类型:蠕虫
病毒别名:I-Worm.Mimail.e[AVP]
该病毒大量发送病毒的邮件,且采用双后缀名的主程序,使其看起来像一个“屏保”文件,并以此达到隐藏自己、欺骗用户的目的。
一、病毒特征
当你的计算机被病毒感染后,它首先将自身复制到%Windir%\cnfrm.exe,且会在%Windir%文件夹中创建两个文件:“Zip.tmp”(readnow.zip文件的临时副本)和“Exe.tmp”(readnow.doc.scr文件的临时副本)。
为了达到随机启动的目的,它还会在注册表的启动项中,即“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”子键下,添加“SystemLoad32”=“%Windir%\cnfrm.exe”字符串值。同时病毒会从计算机中的所有文件中收集电子邮件地址(com、wav、bmp等文件类型除外),并将这些电子邮件地址写入文件%Windir%\eml.tmp中。
当染毒用户连接到互联网后,病毒就通过体内自带有SMTP(发信服务器)向这些地址发送病毒邮件。邮件大多以“提醒”等标题来引诱用户打开邮件附件,达到继续传播的目的,同时会启动DoS(拒绝服务)攻击。
二、自动清除方法
1.使用杀毒软件:升级杀毒软件的病毒库至最新版本,然后对硬盘进行全面查杀。
注意:金山毒霸病毒库必须升级到11月4日以后的版本才能查杀全部5个小邮差病毒变种。
2.下载并使用专杀工具:如果机器没有安装杀毒软件,可以到以下地址下载专杀工具(http://it.rising.com.cn/service/technology/rs_mimail.htm)。
3.使用安全公司的在线查毒系统:你可以登录金山毒霸网站,下载其提供的免费在线查毒系统对硬盘进行查杀(http://online.kingsoft.net)。
三、手工清除方法
1.当你连接到互联网后,在没有进行任何操作时,发现外发字节不断增加或者网速大幅下降,这时你应怀疑有病毒在作怪。此时应该立刻断开网络,然后启动防火墙和病毒实时监控系统(比如金山网镖V),并选中“断开网络”,以阻止病毒进一步蔓延。
2.杀掉病毒进程:如果你使用WinXP系统,则可以按“Ctrl Alt Del”组合键,在任务管理器中找到名为“cnfrm.exe”的进程,将它结束;如果你使用的是Win98系统,则可以使用Windwos优化大师软件中的“进程管理”来完成。当然你也可以重新启动计算机在安全模式下操作。
3.打开注册表编辑器,查找“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下来历不明的启动项(比如“SystemLoad32”),并记住它指向的地址和文件名,然后删除它们。
4.找到以上文件所在的目录,将目录下的Zip.tmp、Exe.tmp、eml.tmp、cnfrm.exe文件删除即可(小邮差变种C生成的文件名为“NetWatch32.exe”,病毒附件名为“photos.zip”;小邮差变种G生成的文件名为“sysload32.exe”,病毒附件名为“readnow.zip”,其中包含一个名为 “readnow.doc.scr”的文件)。
注意:如果你使用的是WinMe/XP/2003操作系统,请在操作前将“系统还原”功能关闭。