萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> 警惕“小郵差病毒”最新變種

警惕“小郵差病毒”最新變種

“小郵差”(Worm.Mimail)病毒早在幾個月前就被發現了,該病毒會隨機變換郵件標題、外發大量病毒郵件並阻塞網絡,還會向一些網站發起“拒絕服務攻擊”(DoS),導致整個網絡癱瘓。   不過最近它一下子又新出了5個變種,廣大網民必須提高警惕。這些新產生的病毒變種可以躲避反病毒軟件的追蹤,且變換了病毒產生的文件名和相關注冊表鍵值。下面就以其中一種變種為例,介紹一下它們的特征及防治方法。   病毒名稱:Worm.Mimail.e   中文名稱:小郵差   受影響系統:Win9X/NT/2000/XP/2003   病毒類型:蠕蟲   病毒別名:I-Worm.Mimail.e[AVP]   該病毒大量發送病毒的郵件,且采用雙後綴名的主程序,使其看起來像一個“屏保”文件,並以此達到隱藏自己、欺騙用戶的目的。   一、病毒特征   當你的計算機被病毒感染後,它首先將自身復制到%Windir%\cnfrm.exe,且會在%Windir%文件夾中創建兩個文件:“Zip.tmp”(readnow.zip文件的臨時副本)和“Exe.tmp”(readnow.doc.scr文件的臨時副本)。   為了達到隨機啟動的目的,它還會在注冊表的啟動項中,即“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”子鍵下,添加“SystemLoad32”=“%Windir%\cnfrm.exe”字符串值。同時病毒會從計算機中的所有文件中收集電子郵件地址(com、wav、bmp等文件類型除外),並將這些電子郵件地址寫入文件%Windir%\eml.tmp中。   當染毒用戶連接到互聯網後,病毒就通過體內自帶有SMTP(發信服務器)向這些地址發送病毒郵件。郵件大多以“提醒”等標題來引誘用戶打開郵件附件,達到繼續傳播的目的,同時會啟動DoS(拒絕服務)攻擊。
二、自動清除方法   1.使用殺毒軟件:升級殺毒軟件的病毒庫至最新版本,然後對硬盤進行全面查殺。   注意:金山毒霸病毒庫必須升級到11月4日以後的版本才能查殺全部5個小郵差病毒變種。   2.下載並使用專殺工具:如果機器沒有安裝殺毒軟件,可以到以下地址下載專殺工具()。   3.使用安全公司的在線查毒系統:你可以登錄金山毒霸網站,下載其提供的免費在線查毒系統對硬盤進行查殺()。   三、手工清除方法   1.當你連接到互聯網後,在沒有進行任何操作時,發現外發字節不斷增加或者網速大幅下降,這時你應懷疑有病毒在作怪。此時應該立刻斷開網絡,然後啟動防火牆和病毒實時監控系統(比如金山網镖V),並選中“斷開網絡”,以阻止病毒進一步蔓延。   2.殺掉病毒進程:如果你使用WinXP系統,則可以按“Ctrl Alt Del”組合鍵,,在任務管理器中找到名為“cnfrm.exe”的進程,將它結束;如果你使用的是Win98系統,則可以使用Windwos優化大師軟件中的“進程管理”來完成。當然你也可以重新啟動計算機在安全模式下操作。   3.打開注冊表編輯器,查找“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下來歷不明的啟動項(比如“SystemLoad32”),並記住它指向的地址和文件名,然後刪除它們。   4.找到以上文件所在的目錄,將目錄下的Zip.tmp、Exe.tmp、eml.tmp、cnfrm.exe文件刪除即可(小郵差變種C生成的文件名為“NetWatch32.exe”,病毒附件名為“photos.zip”;小郵差變種G生成的文件名為“sysload32.exe”,病毒附件名為“readnow.zip”,其中包含一個名為 “readnow.doc.scr”的文件)。   注意:如果你使用的是WinMe/XP/2003操作系統,請在操作前將“系統還原”功能關閉。
copyright © 萬盛學電腦網 all rights reserved