所属分类： 电脑病毒 计算机病毒 软件

病毒名称：小邮差
警惕程度：★★★★
发作时间：随机
病毒类型：蠕虫病毒
传播方式：网络
感染对象：网络
依赖系统: WINDOWS 9X/NT/2000/XP

目录 [隐藏]

• 1 病毒简介
• 2 病毒行为
• 3 解决方案
• 4 和其它恶性蠕虫对比
• 5 病毒变种介绍——小邮差变种C
• 6 病毒变种介绍——小邮差变种I
• 7 病毒变种介绍——小邮差变种L/M
• 8 相关报道
• 9 相关下载

2003年8月4日，瑞星全球反病毒监测网截获了一个利用邮件漏洞进行传播的蠕虫病毒—“小邮差 (Worm.Mimail)”，该病毒会随机变换病毒邮件标题，具有极大的诱惑性。该病毒本身被病毒作者用UPX压缩工具压缩过，只有12K大小，向外发送病毒邮件时，不易被用户查觉。病毒运行时会将自身拷贝到系统目录下，并修改注册表进行自启动，在计算机下次启动时，病毒便会自动运行。

病毒会在除了以下扩展名的所有类型的文件中搜索mail地址：".bmp",".jpg",".gif",".exe",".dll",".avi",
".mpg"".mp3",".vxd",".ocx",".psd",".tif",".zip",".rar" “.pdf",".cab",".wav",".com"，如果找到有效的电子邮件地址，则病毒会使用自己的邮件发送引擎发送邮件标题为：“your account ###### ”（######可变串），附件为：Message.zip的病毒邮件，由于病毒利用了微软的漏洞，以至于用户只要预览该病毒邮件，病毒便会自动运行，给用户造成危害。

1、病毒会将自己拷贝到WINDOWS的安装目录，复本名字为Videodrv.exe。%Windir%\Videodrv.exe

2、添加注册表中的启动项，使病毒能随机启动

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"VideoDriver"=%WINDOWS%\videodrv.exe"

3、病毒激活后会在WINDOWS安装目录下生成以下三个文件

eml.tmp	用于保存病毒收集到的电子邮件地址
exe.tmp	病毒附件message.zip的临时文件
zip.tmp	message.zip包中message.htm文件的临时文件

4、病毒在得知系统已经连接到Internet以后，开始在受感染系统中收集电子邮件地址。病毒会搜寻硬盘上所有文件的文件内容，但不包括具有以下扩展名的文件：

avi

bmp

cab

com

dll

exe

gif

jpg

mp3

mpg

ocx

psd

rar

wav

tif

pdf

vxd

zip

病毒将收集到的电子邮件地址保存在以上提到的eml.tmp文件中，并在注册表添加以下键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111111111}

5、病毒利用自带的SMTP引擎，向收集来的电子邮件地址发送带毒邮件。病毒邮件特征如下：

发信人: admin@ (病毒为了加强期期骗性，将发信人地址的域名改为受攻击邮件地址的域名)

主题: your account “受攻击邮件地址的用户名"

正文:

Hello there, 　　I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details. 　　Best regards, 　　Administrator

附件: Message.zip

6、Mssage.zip文件中的message.htm文件利用IE浏览器的漏洞，会自动释放病毒程序的到IE的临时文件夹，名字为Foo.exe，并立即执行它。

1. 病毒运行后会将名为Videodrv.exe的病毒体复制到windows目录下，并产生多个病毒相关文件：Zip.tmp、Exe.tmp、 Eml.tmp。如果用户发现上述提到的病毒文件，则证明已经被感染，可直接将这些病毒文件删除。

2. 病毒会通过修改注册表的自启动项来进行自启动，病毒会修改：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，在其中加入名为：“VideoDriver”的注册表键值，内容是病毒文件所在的路径。用户可以用REGEDIT等注册表编辑工具直接删除病毒产生的这个键值，以防止病毒进行自启动。

3. 病毒会发送邮件标题为：your account ## （##为可变串），附件为：Message.zip的病毒邮件， 同时病毒还利用微软漏洞，使得用户只要预览该邮件就会中毒。另外Message.zip的附件中中有一个Message.htm文件，当用户预览该文件时，病毒便会利用漏洞将名为foo.exe的病毒体复制到Internet临时文件目录中，并将其运行。用户可以先到上面提到的地址打一个邮件漏洞的补丁，以防止病毒运行，然后再查看收件箱中是否有上述提到的邮件，最后将提到的“foo.exe”文件删除。

小邮差病毒 和其它恶性蠕虫对比

 

病毒名称	冲击波（Msblast）	大无极(Sobig.f)	小邮差
传播方式	系统漏洞	电子邮件	电子邮件
传播速度	极快，不到一天感染全球	快，在病毒发作日内快速发送病毒邮件	快，病毒无明显发作日，会像滚雪球一个快速增长
传播范围	全球范围	全球范围	欧、美、亚陆续出现
危害程度	高，针对互联网	高，主要针对邮件服务器册，每17封中有一个带毒邮件	高，针对邮件服务器，还在被感染的系统内留下极危险的后门，每12封邮件中就一封是带毒邮件

发作时间：随机
病毒类型：蠕虫病毒
警惕程度：★★★★
传播途径：邮件
依赖系统: WINDOWS 9X/NT/2000/XP

病毒介绍：

2003年11月1日，瑞星全球反病毒监测网截获了恶性蠕虫“小邮差”病毒的最新变种：“小邮差变种C(Worm.Mimail.C)”，该病毒会随机变换邮件标题、向外发送大量邮件来阻塞网络，病毒还会利用被感染的机器向一些网站发起“拒绝服务攻击（DoS）”，导致整个网络瘫痪。

病毒运行后会大量消耗网络资源，使网速变慢。据分析，感染了该病毒的电脑，系统目录下会出现名为“Netwatch.exe”的病毒文件，注册表的自启动项中会出现名为“NetWatch32”的病毒键值，经常上网的用户可以通过查看以上现象，来判断自己的电脑是否感染病毒，如果出现，请尽快采取相关措施，以防止病毒继续泛滥。

该病毒主要通过邮件传播，搜索18种类型的文件，在其中寻找有效的邮件地址，使用自己的邮件发送引擎，向这些地址发送大量标题为：“our private photos ###### ”（######为随机串），附件为：photos.zip的病毒邮件，如果用户收到以上内容的邮件时，请直接删除，千万不要打开和预览，因为该病毒利用了微软的邮件漏洞，就连预览也能使病毒运行。

 病毒的特性、发现与清除：

1. 病毒运行时会将自己复制一份到WINDOWS安装目录下并命名为：Netwatch.exe，用户可以在计算机中查找该病毒文件，找到后删除。

2. 病毒会修改注册表的自启动项：“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”，在其中添加：“NetWatch32 = %Windir%\netwatch.exe”的病毒键值，用户可以利用REGEDIT等注册表编辑工具查找该病毒键值，找到后删除。

3. 病毒会搜索：com、wav、cab、pdf、rar、zip、tif、psd、ocx 、vxd、mp3、mpg、avi、dll、exe、gif、jpg、bmp这些类型的文件，在其中寻找有效的电子邮件地址。

4. 病毒会在WINDOWS安装目录下生成一个名为：eml.tmp的文件，用来存放所有邮件地址，用户可以查找并删除该文件。

5. 该病毒运行时会同时开辟15个线程，随机攻击某些网址，造成网络瘫痪。

6. 病毒会通过向外发送带毒邮件的方式来阻塞网络, 病毒邮件的标题为：

Subject: Re[2]: our private photos ######(######为随机信息)
邮件的内容为：

Hello Dear!, Finally i've found possibility to right u, my lovely girl :) All our photos which i've made at the beach (even when u're without ur bh:)) photos are great! This evening i'll come and we'll make the best SEX :) Right now enjoy the photos. Kiss, James. [random sequence of letters]

病毒附件为： photos.zip
如果用户收到有以上内容的邮件，请直接删除该邮件，不要运行附件。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“小邮差变种C(Worm.Mimail.C)”病毒。

警惕程度：★★★★

发作时间：随机
病毒类型：蠕虫病毒
传播途径：邮件
依赖系统: WINDOWS 9X/NT/2000/XP

病毒介绍：
2003年11月17日，瑞星全球反病毒监测网截获了恶性蠕虫“小邮差”病毒的变种：“小邮差变种I(Worm.Mimail.I)”，据了解，该病毒是“小邮差”病毒家族的第9个变种，该病毒变种并不象上几个病毒变种那样攻击某些网站，而是伪装成信用卡信息填写栏来骗取用户的信用卡信息，经常进行线上交易的用户要特别注意该病毒的动向，以免中招，给自己造成不必要的经济损失。

病毒运行后会释放出c:\pp.hta、c:\pp.gif两个病毒文件，并用运行其中的一个文件，这时就会出现一个假的信用卡信息填写栏，如果用户信以为真而填写上自己的信用卡信息的话，这些信息就会被病毒保存在c:\ppinfo.sys文件内，然后通过网络发送到病毒作者指定的信箱。另外该病毒会搜索用户电脑中的E-MAIL地址，向外发送标题为：“YOUR PAYPAL.COM ACCOUNT EXPIRES”，附件为：“www.***paypal.com.scr”的带毒邮件，使病毒在网上大量泛滥，导致网络阻塞。
 
病毒的特性、发现与清除：

1. 该病毒运行后首先将自己复制到system目录下路径为：%system32%svchost32.exe，用户可以在计算机中查找该病毒文件，找到后删除。

注意：%system32%一个变量，它是指它指的是NT操作系统安装目录中的系统目录，默认是：“c:\Winnt\system32”。

2. 病毒会修改注册表的自启动项：“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”，在其中添加：“SvcHost32”的病毒键值，用户可以利用REGEDIT等注册表编辑工具查找该病毒键值，找到后删除。

3. 病毒会放出c:\pp.hta和c:\pp.gif文件并用IE启动该hta文件，（该脚本为一个假的信用卡信息 填写栏），病毒还会利用该脚本把用户输入的信用卡信息记录到c:\ppinfo.sys文件内，用户可查找这几个文件，找到后删除。

4. 病毒会搜索：com. Wav. Cab. Pdf. Rar. Zip. Tif. Psd. Ocx. Vxd. Mp3. Mpg. Avi. Dll. Exe. Gif.jpg. Bmp这些类型的文件，在其中寻找有效的电子邮件地址，将这些地址记录到el388.tmp文件里。

5. 病毒会通过向外发送带毒邮件的方式来阻塞网络,
 邮件标题为：
    YOUR PAYPAL.COM ACCOUNT EXPIRES
 内容为：

Dear PayPal member,PayPal would like to inform you about some important information regarding your PayPal account. This account, which is associated with the email address. Will be expiring within five business days.  We apologize for any inconvenience that this may cause, but this is occurring because all of our customers are required to update their account settings with their personal information… We are taking these actions because we  are implementing a new security policy on our website to insure everyone's absolute  privacy. To avoid any interruption in PayPal services then you will need to run the  application that we have sent with this email (see attachment) and follow the instructions.  Please do not send your personal information through email, as it will not be as  secure IMPORTANT! If you do not update your information with our secure application within the next five business days then we will be forced to deactivate your account and you will  not be able to use your PayPal account any longer. It is strongly recommended that you  take a few minutes out of your busy day and complete this now… DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This mail is sent by an automated message system and the reply will not be received            Thank you for using PayPal

附件名： www.***paypal.com.scr

如果用户收到有以上内容的邮件，请直接删除该邮件，不要运行附件。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“小邮差变种I(Worm.Mimail.I)”病毒，

警惕程度：★★★★
发作时间：随机
病毒类型：蠕虫病毒
传播途径：邮件
依赖系统: WINDOWS 9X/NT/2000/XP

病毒介绍：

2003年12月3日，恶性蠕虫病毒“小邮差”出现第12个变种，瑞星全球反病毒监测网在国内率先截获了该病毒并进行了升级，该病毒被命名为：“小邮差变种L(Worm.Mimail.L)”。该病毒会自动搜索受感染电脑里储存的电子邮件地址，发送的病毒邮件的标题为：“Re[2]We are going to bill your credit card”，附件名称为：“wendy.zip”，如果您看到邮件里有zip格式的附件，请不要轻意运行。由于该病毒总是通过改变病毒邮件的标题和附件信息来产生新的变种，因此广大的电脑用户要提高自身的安全意识，不要轻意中招。

2003年12月5日，“小邮差变种M（Worm.Mimail.m）”病毒落网，该病毒运行时会将自己复制到Windows目录下命名为：netmon.exe，然后修改注册表进行自启动。病毒运行后建立多个线程，在几十种类型的文件中搜索有效的邮件地址，然后向外大量发送带毒邮件，阻塞网络。

病毒的特性、发现与清除：

1. “小邮差变种L(Worm.Mimail.L)”病毒运行后首先将自己复制到system目录下路径为：%system32%svchost32.exe，而“小邮差变种M(Worm.Mimail.M)”病毒运行后会将自己复制到system目录下路径为：%WINDIR%\netmon.exe，用户可以在计算机中查找该病毒文件，找到后删除。

注意：%system32%是一个变量，它是指它指的是NT操作系统安装目录中的系统目录，默认是：“c:\Winnt\system32”。%windir%是一个变得，它是指操作系统的安装目录，默认是：“c:\Winnt”或“c:\windows”。

2. “小邮差变种L(Worm.Mimail.L)”病毒会修改注册表的自启动项：“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”，在其中添加：“SvcHost32”的病毒键值，“小邮差变种M(Worm.Mimail.M)”病毒则会在自启动项中添加：“France”的病毒键值，用户可以利用REGEDIT等注册表编辑工具查找该病毒键值，找到后删除。

3. 病毒会搜索：com. Wav. Cab. Pdf. Rar. Zip. Tif. Psd. Ocx. Vxd. Mp3. Mpg. Avi. Dll. Exe. Gif.jpg. Bmp这些类型的文件，在其中寻找有效的电子邮件地址，然后发送内容可能为不健康文本或某些网站的链接，附件是病毒体的带毒邮件，并阻塞网络。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“小邮差变种L(Worm.Mimail.L)”或“小邮差变种M(Worm.Mimail.M)”病毒。

别小看了“小邮差”-- 五个新的病毒变种同时出现

 11月3日，瑞星全球反病毒监测网一举截获了恶性蠕虫“小邮差”病毒的五个新变种：“小邮差变种D/E/F/G/H(Worm.Mimail. D/E/F/G/H)”，这些新产生的病毒变种同“小邮差变种C”病毒差别不大，只是改变了病毒产生的文件名和相关注册表键值，目的是为了躲避反病毒软件的追踪，欲使病毒泛滥范围进一步扩大。
 
这五个病毒变种的破坏性同“小邮差变种C”相同，都是随机变换邮件标题、向外发送大量邮件来阻塞网络、利用被感染机器向一些网站发起“拒绝服务攻击(DoS)”，导致网络瘫痪，唯一的区别就是这五个病毒变种产生的病毒文件与注册表键值不同。瑞星反病毒专家判断，象这样同时出现若干个变种的情况在以前很少见，病毒作者的这种做法主要是为了能在短时间内产生出大量的新变种，使反病毒软件不能及时追杀，达到病毒大面积泛滥的目的。

瑞星截获"小邮差"第十个变种 窃取用户信用卡密码

2003年11月18日，恶性蠕虫病毒“小邮差”的第十个变种惊现网络，瑞星全球反病毒监测网在国内率先截获了该病毒并进行了紧急升级，该病毒名称为：“小邮差变种J(Worm.Mimail.J)”。该病毒变种同昨天（11月18日）的“小邮差变种I”病毒的特性大体相同，同样是伪装成信用卡信息填写栏来骗取用户的信用卡信息，但是将病毒邮件的标题与附件进行了修改，使之更具有诱惑性。

当该病毒搜索用户电脑中E-MAIL地址，向外发送病毒邮件时，邮件的标题为：“IMPORTANT”，附件为：“www.***paypal.com.pif”或“InfoUpdate.exe”，用户要注意分辨。

由于该变种病毒比其它变种病毒具有更强的网络传播性，瑞星反病毒工程师已经将该病毒的危害级别定为高度危险，即四星级别。经常进行线上交易的用户或者经常使用信用卡的用户要特别注意该病毒的相关报道，及时采取有效地防范措施。

紧急警报:小邮差惊现第18个变种 破坏力居家族之首

2004年2月3日，瑞星全球反病毒监测网在国内率先截获恶性蠕虫病毒“小邮差”的最新变种：“小邮差变种R(Worm.Mimail.R)”，并决定于当日进行紧急升级。小邮差病毒在春节期间的异常活跃，先后出现过3个不同的变种，本次发现的病毒是“小邮差”家族的第18个变种，也是迄今为止最厉害的一个变种。该病毒除了会通过伪装信用卡信息填写栏窃取用户信用卡资料、向外发送带毒邮件进行网络传播之外，该病毒还会在被感染电脑上建立两个安全后门、盗取用户的安全信息，给用户电脑带来持续的破坏。

病毒感染电脑后会建立一个端口为3000的远程shell后门和一个端口为6667的后门，通过这两个后门，病毒就可以和外界沟通，执行各种黑客程序来控制用户的电脑。该病毒还会搜索用户的Cookies信息，寻找“e-gold.com”的字符串，如果找不到，病毒就会扫描电脑中的服务端口，将一些安全服务信息保存在c:\serv.txt文件中，并在用户上网时将该文件发送到指定的邮箱，据瑞星反病毒工程师分析，这样做的目的是使病毒作者能够了解被感染电脑的安全状况，对用户电脑进行后续的控制与破坏。

此外，病毒还会提取用户的email地址记录，向外发送大量的带毒邮件传播网络，然后释放文件：c:\wind.gif、c:\logobig.gif、c:\logo.jpg、c:\mshome.hta，并执行其中的脚本文件，出现病毒伪装的信用卡输入框，由于病毒自带了图片，因此界面更好看，更具迷惑性，信用卡用户特别要提高警惕，注意分辨。

瑞星反病毒专家提醒用户：刚经过春节长假的人们，安全防范意识相对会较低，更易被病毒感染。因此广大的电脑用户要注意病毒的防范，发现电脑异常应及时采取措施，及时升级杀毒软件，并打开实时监控系统来保障电脑安全。

瑞星小邮差病毒专杀工具  http://it.rising.com.cn/service/technology/RS_Mimail.htm

金山小邮差病毒专杀工具  http://download01.duba.net/download/othertools//Duba_Novarg.EXE

讨论区

更多>>

标题	作者	时间	最后回复

• 标题：
• 内容：
• 用户名：匿名发表 登录| 注册
• 验证码：
•   看不清？换一个！