小邮差变种C(Worm.Mimail.C)病毒档案

知识库编号： RSV0512285

内容分类： 蠕虫病毒

关键词： 小邮差;Worm.Mimail.C

适用操作系统：Windows 操作系统

适用操作系统补丁版本：全部补丁适用

小邮差变种C(Worm.Mimail.C)病毒档案

病毒评估

发作时间：随机

病毒类型：蠕虫病毒

警惕程度：★★★★

传播途径：邮件

依赖系统: WINDOWS 9X/NT/2000/XP

病毒介绍

2003年11月1日，瑞星全球反病毒监测网截获了恶性蠕虫“小邮差”病毒的最新变种：“小邮差变种C(Worm.Mimail.C)”，该病毒会随机变换邮件标题、向外发送大量邮件来阻塞网络，病毒还会利用被感染的机器向一些网站发起“拒绝服务攻击（DoS）”，导致整个网络瘫痪。

病毒运行后会大量消耗网络资源，使网速变慢。据分析，感染了该病毒的电脑，系统目录下会出现名为“Netwatch.exe”的病毒文件，注册表的自启动项中会出现名为“NetWatch32”的病毒键值，经常上网的用户可以通过查看以上现象，来判断自己的电脑是否感染病毒，如果出现，请尽快采取相关措施，以防止病毒继续泛滥。

该病毒主要通过邮件传播，搜索18种类型的文件，在其中寻找有效的邮件地址，使用自己的邮件发送引擎，向这些地址发送大量标题为：“our private photos ###### ”（######为随机串），附件为：photos.zip的病毒邮件，如果用户收到以上内容的邮件时，请直接删除，千万不要打开和预览，因为该病毒利用了微软的邮件漏洞，就连预览也能使病毒运行。

病毒的特性、发现与清除

1. 病毒运行时会将自己复制一份到WINDOWS安装目录下并命名为：Netwatch.exe，用户可以在计算机中查找该病毒文件，找到后删除。

2. 病毒会修改注册表的自启动项：“HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run”，在其中添加：“NetWatch32 = %Windir%\etwatch.exe”的病毒键值，用户可以利用REGEDIT等注册表编辑工具查找该病毒键值，找到后删除。

3. 病毒会搜索：com、wav、cab、pdf、rar、zip、tif、psd、ocx 、vxd、mp3、mpg、avi、dll、exe、gif、jpg、bmp这些类型的文件，在其中寻找有效的电子邮件地址。

4. 病毒会在WINDOWS安装目录下生成一个名为：eml.tmp的文件，用来存放所有邮件地址，用户可以查找并删除该文件。

5. 该病毒运行时会同时开辟15个线程，随机攻击某些网址，造成网络瘫痪。

6. 病毒会通过向外发送带毒邮件的方式来阻塞网络, 病毒邮件的标题为：

Subject: Re[2]: our private photos ######(######为随机信息)

邮件的内容为：

Hello Dear!,

Finally i've found possibility to right u, my lovely girl :)

All our photos which i've made at the beach (even when u're without ur bh:))

photos are great! This evening i'll come and we'll make the best SEX :)

Right now enjoy the photos.

Kiss, James.

[random sequence of letters]

病毒附件为：

photos.zip

如果用户收到有以上内容的邮件，请直接删除该邮件，不要运行附件。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“小邮差变种C(Worm.Mimail.C)”病毒。

解决方案

1、瑞星杀毒软件15.59.21版已可清除此病毒，目前瑞星用户只需升级到最新版本即可彻底拦截此病毒。

2、对于手中没有杀毒软件的用户，可以根据以上提示进行手工清除，也可以免费下载瑞星公司提供的小邮差病毒专杀工具进行查杀，下载地址http://it.rising.com.cn/service/technology/RS_Mimail.htm。