您的位置:首页资讯手机辅助 → 江民公布“邮米”最新变种蠕虫技术分析报告

江民公布“邮米”最新变种蠕虫技术分析报告

时间:2004/10/8 14:45:00来源:本站整理作者:蓝点我要评论(0)

>   千龙网讯 11月1日,江民快速反病毒小组国内率先截获“邮米”病毒I-Worm/Mimail的最新变种,现将其技术分析报告公布如下:



  该蠕虫是原I-Worm/Mimail的变种病毒,蠕虫程序大小是:12832字节或者12958字节。该蠕虫是通过修改系统注册表的启动项目来达到自动运行自身的目的的。在这点上和其他大部分的网络蠕虫基本相同。同时江民杀毒软件首创的注册表监视功能使得即使不升级查杀病毒数据库也能监视到该蠕虫对系统注册表的修改。



  (1)感染平台:Windows 9x/ME/NT/2000/XP等。



  (2)感染途径:通过电子邮件传播,比较有特点是该蠕虫的邮件主题是随机的,有部分是固定的:Re[2]: our private photos + (以上说的随机字符)。大意是:回复:我们的私人相片。



  (3)感染特征:除了内存中外,普通用户可以通过查找以下文件的方法来确定是否感染:WINDOWS目录下存在文件netwatch.exe ,大小是12832字节。



  WINDOWS目录下存在三个临时文件:EML.TMP,EXE.TMP以及ZIP.TMP等。其中的EML.TMP是蠕虫自动搜集到的感染用户的邮件地址,这些邮件地址是从用户的计算机中通过搜索相关文件来获得的。为了加快寻找目标邮件地址的速度,该蠕虫不在以下常见的不能含邮件地址的其他文件中搜索,排除的文件类型有:



  视频文件avi,mpg,图象文件bmp和gif和jpg,压缩文件zip和rar和cab,波形文件wav,photoshop文件psd和tif,MP3文件,可执行文件exe和com 和dll和ocx和设备驱动程序vxd ,Abode Acrobat的pdf文档等。EXE.TMP是蠕虫自身;ZIP.TMP是压缩形式的蠕虫。该蠕虫大量往外发送含有蠕虫的信笺,同时发送大量的数据包给远程服务器的80端口(HTTP方式).



  修改系统注册表的启动项:



  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run



  增加的键是NetWatch32,值是WINDOWS目录下的文件NETWATCH.EXE.



  该蠕虫是以一个ZIP压缩包的形式传播的,而且其中还含有对某特定网站进行DoS(拒绝服务攻击)的特性。



  (4)蠕虫特征及其识别:



  蠕虫的主题Subject: Re[2]: our private photos +随机字符串。



  蠕虫附件:PHOTOS.ZIP,该ZIP文件的大小是:12958字节。 该ZIP文件解压缩后的文件是大小为12832字节的可执行文件HOTOS.JPG.EXE。



  蠕虫的正文是英文的:



  Hello Dear!,



  Finally, i've found possibility to right u, my lovely girl :)



  All our photos which i've made at the beach (even when u're withou ur bh:))



  photos are great! This evening i'll come and we'll make the best SEX :)



  Right now enjoy the photos.



  Kiss, James.



  以上的大意看上去更象是一封情书:),蠕虫几乎是能找到它所能用的一切手段。文章的大意是:



  我最后终于找到了我们在海滩上的一些照片,照片太棒了,晚上还要去看你--可爱的女孩,让可爱的女朋友先欣赏这些照片呢!



  收到该信笺的用户千万不要真的以为是照片就打开压缩文件看哟。要不然就会中毒!



  在邮件正文的最后是邮件主题上出现的随机的字符串。



  (5)处理方法:



  由于该蠕虫不采用常见的所谓WINDOWS的操作系统的漏洞,也不是伪装成微软的补丁来给用户发送信笺。



  该病毒能传播的特点在于一是“诱人”的信件内容,二是邮件附件是一个ZIP压缩文件。目前一般认为蠕虫病毒不会通过压缩文件来传播,自从出现了I-Worm/Mimail(邮米蠕虫).



  建议用户直接删除含有以上说明的网络蠕虫信笺,如果不能确定的话,请直接与江民科技反病毒小组联系。



  (6)江民杀毒软件KV2004的处理方法:



  a)智能升级查杀病毒数据库到最新版:2003年11月1日后;



  b)开启江民杀病毒软件KV2004的六项监视,可以预防含有该蠕虫的信笺、预防该蠕虫生成的执行文件、预防该蠕虫对系统注册表的修改。



  c)暂时没有安装成功的用户可以直接删除含有该病毒的信件,删除或者终止该蠕虫进程netwatch.exe的方法来处理,同时还需要恢复被病毒修改的系统注册表项。



  目前江民科技反病毒小组搜集到数十个用户的报告以及含有该病毒的信件。江民科技反病毒小组正密切关注该蠕虫的发展动向,同时提醒广大的江民杀毒软件的用户及时升级最新的查杀病毒数据库到2003年11月1日。江民科技承诺的每个工作日都升级的策略自推出以来受到了广泛的关注与好评。11月1日虽然是休息日,但是江民科技的反病毒小组还是特意升级了查杀该病毒的病毒数据库,履行着遇到可能爆发病毒“随时升级”的承诺。



来源: 千龙科技

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 爱思助手怎么导入微信i苹果助手怎么修复闪退2014年度十大手机排行wifi万能钥匙怎么用啊

最新文章 手机如何安装电脑软件使用Total Control手机 如何使用Total Control进行手机APP性能测试如何使用Total Control 在电脑端收发手机消如何使用Total Control 投屏录屏软件分享手Total Control电脑控制手机软件如何进行脚本

人气排行 一键刷机哪个好 四大安卓刷机软件评测手机SIM卡读不出来怎么办?手机SIM卡不识别解USB调试在哪里打开 手机USB调试模式设置大全完美刷机怎么救砖 手机变砖后怎么办爱思助手备份shsh教程 爱思助手怎么备份SHwifi万能钥匙怎么用啊 wifi万能钥匙电脑版逍遥安卓模拟器怎么用 逍遥安卓模拟器安装使苹果手机怎么退出恢复模式 怎么用爱思助手