 |
 |
■ 加入收藏 ■ 加入收藏 ■ 联系我们 |
|
| 文字广告: ppp |
| 当前位置 > 网络安全 > 安全技术 > 网络安全 小邮差病毒的分析与防范
时间:2005-6-16 9:08:11 作者: 来源:太平洋电脑点击数:
病毒名称:Wrom.MiMail
病毒类型:蠕虫 病毒长度:19824 危害级别:中 传播速度:高 技术特征: 该病毒通过大量发送带毒邮件来进行传播。邮件附件中是一个包含有HTM文件的ZIP压缩包。病毒源码包含在HTM文件中。HTM文件的内容是针对IE浏览器的漏洞特别编写的,只要打开HTM文件就会释放病毒到本地,并自动运行病毒程序。病毒主程序采用UPX压缩。 病毒行为: 1、病毒会将自己拷贝到WINDOWS的安装目录,复本名字为Videodrv.exe。%Windir%\Videodrv.exe 2、添加注册表中的启动项,使病毒能随机启动 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"VideoDriver"=%WINDOWS%\videodrv.exe" 3、病毒激活后会在WINDOWS安装目录下生成以下三个文件 eml.tmp 用于保存病毒收集到的电子邮件地址 exe.tmp 病毒附件message.zip的临时文件 zip.tmp message.zip包中message.htm文件的临时文件 4、病毒在得知系统已经连接到Internet以后,开始在受感染系统中收集电子邮件地址。病毒会搜寻硬盘上所有文件的文件内容,但不包括具有以下扩展名的文件:avi bmp cab com dll exe gif jpg mp3 mpg ocx pdf psd rar tif vxd wav zip 病毒将收集到的电子邮件地址保存在以上提到的eml.tmp文件中,并在注册表添加以下键值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111111111} 5、病毒利用自带的SMTP引擎,向收集来的电子邮件地址发送带毒邮件。病毒邮件特征如下: > 发信人: admin@ (病毒为了加强期期骗性,将发信人地址的域名改为受攻击邮件地址的域名) 主题: your account “受攻击邮件地址的用户名” 正文: Hello there, |
|
|
|
|
|
|||||||||
