金山毒霸:Worm.MiMail 蠕虫病毒的分析报告 |
|---|
|
| www.iselong.com 作者: |
|
2003年08月04日14:58:36
病毒名称:Wrom.MiMail
病毒类型:蠕虫
病毒长度:19824
危害级别:中
传播速度:高
技术特征:
该病毒通过大量发送带毒邮件来进行传播。邮件附件中是一个包含有HTM文件的ZIP压缩包。病毒源码包含在HTM文件中。HTM文件的内容是针对IE浏览器的漏洞特别编写的,只要打开HTM文件就会释放病毒到本地,并自动运行病毒程序。病毒主程序采用UPX压缩。
病毒行为:
1、病毒会将自己拷贝到WINDOWS的安装目录,复本名字为Videodrv.exe。%Windir%\Videodrv.exe
2、添加注册表中的启动项,使病毒能随机启动
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"VideoDriver"=%WINDOWS%\videodrv.exe"
3、病毒激活后会在WINDOWS安装目录下生成以下三个文件
eml.tmp 用于保存病毒收集到的电子邮件地址
exe.tmp 病毒附件message.zip的临时文件
zip.tmp message.zip包中message.htm文件的临时文件
4、病毒在得知系统已经连接到Internet以后,开始在受感染系统中收集电子邮件地址。病毒会搜寻硬盘上所有文件的文件内容,但不包括具有以下扩展名的文件:avi bmp cab com dll exe gif jpg mp3 mpg ocx pdf psd rar tif vxd wav zip
病毒将收集到的电子邮件地址保存在以上提到的eml.tmp文件中,并在注册表添加以下键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111111111}
5、病毒利用自带的SMTP引擎,向收集来的电子邮件地址发送带毒邮件。病毒邮件特征如下:
> 发信人: admin@ (病毒为了加强期期骗性,将发信人地址的域名改为受攻击邮件地址的域名)
主题: your account “受攻击邮件地址的用户名”
正文:
Hello there,
I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.
Best regards,
Administrator
附件: Message.zip
6、Mssage.zip文件中的message.htm文件利用IE浏览器的漏洞,会自动释放病毒程序的到IE的临时文件夹,名字为Foo.exe,并立即执行它。
如果您的系统还未打上最新补丁来更正IE浏览器的漏洞,请到以下地址下载相关补丁程序:http://support.microsoft.com/default.aspx?scid=kb;en-us;330994
|
