警惕“小郵差病毒”最新變種

“小郵差”(Worm.Mimail)病毒早在幾個月前就被發現了，該病毒會隨機變換郵件標題、外發大量病毒郵件並阻塞網絡，還會向一些網站發起“拒絕服務攻擊”(DoS)，導致整個網絡癱瘓。 　　不過最近它一下子又新出了5個變種，廣大網民必須提高警惕。這些新產生的病毒變種可以躲避反病毒軟件的追蹤，且變換了病毒產生的文件名和相關注冊表鍵值。下面就以其中一種變種為例，介紹一下它們的特征及防治方法。 　　病毒名稱：Worm.Mimail.e 　　中文名稱：小郵差 　　受影響系統：Win9X/NT/2000/XP/2003 　　病毒類型：蠕蟲 　　病毒別名：I-Worm.Mimail.e[AVP] 　　該病毒大量發送病毒的郵件，且采用雙後綴名的主程序，使其看起來像一個“屏保”文件，並以此達到隱藏自己、欺騙用戶的目的。 　　一、病毒特征 　　當你的計算機被病毒感染後，它首先將自身復制到%Windir%\cnfrm.exe，且會在%Windir%文件夾中創建兩個文件：“Zip.tmp”(readnow.zip文件的臨時副本)和“Exe.tmp”(readnow.doc.scr文件的臨時副本)。 　　為了達到隨機啟動的目的，它還會在注冊表的啟動項中，即“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”子鍵下，添加“SystemLoad32”=“%Windir%\cnfrm.exe”字符串值。同時病毒會從計算機中的所有文件中收集電子郵件地址(com、wav、bmp等文件類型除外)，並將這些電子郵件地址寫入文件%Windir%\eml.tmp中。 　　當染毒用戶連接到互聯網後，病毒就通過體內自帶有SMTP(發信服務器)向這些地址發送病毒郵件。郵件大多以“提醒”等標題來引誘用戶打開郵件附件，達到繼續傳播的目的，同時會啟動DoS(拒絕服務)攻擊。
二、自動清除方法 　　1.使用殺毒軟件：升級殺毒軟件的病毒庫至最新版本，然後對硬盤進行全面查殺。 　　注意：金山毒霸病毒庫必須升級到11月4日以後的版本才能查殺全部5個小郵差病毒變種。 　　2.下載並使用專殺工具：如果機器沒有安裝殺毒軟件，可以到以下地址下載專殺工具()。 　　3.使用安全公司的在線查毒系統：你可以登錄金山毒霸網站，下載其提供的免費在線查毒系統對硬盤進行查殺()。 　　三、手工清除方法 　　1.當你連接到互聯網後，在沒有進行任何操作時，發現外發字節不斷增加或者網速大幅下降，這時你應懷疑有病毒在作怪。此時應該立刻斷開網絡，然後啟動防火牆和病毒實時監控系統(比如金山網镖V)，並選中“斷開網絡”，以阻止病毒進一步蔓延。 　　2.殺掉病毒進程：如果你使用WinXP系統，則可以按“Ctrl Alt Del”組合鍵，，在任務管理器中找到名為“cnfrm.exe”的進程，將它結束；如果你使用的是Win98系統，則可以使用Windwos優化大師軟件中的“進程管理”來完成。當然你也可以重新啟動計算機在安全模式下操作。 　　3.打開注冊表編輯器，查找“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下來歷不明的啟動項(比如“SystemLoad32”)，並記住它指向的地址和文件名，然後刪除它們。 　　4.找到以上文件所在的目錄，將目錄下的Zip.tmp、Exe.tmp、eml.tmp、cnfrm.exe文件刪除即可(小郵差變種C生成的文件名為“NetWatch32.exe”，病毒附件名為“photos.zip”；小郵差變種G生成的文件名為“sysload32.exe”，病毒附件名為“readnow.zip”，其中包含一個名為 “readnow.doc.scr”的文件)。 　　注意：如果你使用的是WinMe/XP/2003操作系統，請在操作前將“系統還原”功能關閉。