9,505
社区成员
发帖
与我相关
我的任务
分享W32.Mimail.A@mm
W32.Mimail@mm 是通过电子邮件传播的蠕虫。
受感染的电子邮件具有下列特征:
主旨:your account %s
附件:message.zip
注意:%s 是指一个变量字符串。
这个威胁利用了一个已知的安全漏洞。有关这个漏洞和 Microsoft 修补程序的讯息请阅读:http://support.microsoft.com/default.aspx?scid=kb;en-us;330994
建议系统管理员采用 Microsoft 修补程序,预防此蠕虫的感染。
此蠕虫使用 UPX 压缩方式压缩。
版本数字为 50801r,或名 August 1,2003 rev 18 或更大的病毒定义文件能够探测这个威胁。
也称为: WORM_MIMAIL.A [Trend], W32/Mimail@MM [McAfee], Win32.Mimail.A [CA], W32/Mimail-A [Sophos], I-Worm.Mimail [KAV]
类型: Worm
感染长度: approximately 16kb
受影响的系统: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
未受影响的系统: Macintosh, OS/2, UNIX, Linux
CVE 参考: CAN-2002-0980, CAN-2002-0077
如果执行 W32.Mimail.A@mm,它会进行以下动作:
将自身复制为 %Windir%\Videodrv.exe。
新增下列值:
"VideoDriver"="%Windir%\videodrv.exe"
加入注册键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
因此,当您启动 Windows 时,蠕虫就会执行。
使用它自己的 SMTP 服务器通过电子邮件传播。
受感染的电子邮件具有下列特征:
寄件者:admin@<current domain> (The from address may be spoofed as if to appear its coming from the current domain)
主旨:your account %s
内文:
Hello there,
I would like to inform you about important information regarding your email address.This email address will be expiring. Please read attachment for details.
Best regards,
Administrator
附件:Message.zip
Message.zip 含有档案 Message.htm, 此档案在 Temporary Internet Files 数据夹创建一个叫 Foo.exe 的蠕虫副本,然后将其执行。
有关这个漏洞和 Microsoft 修补程序的讯息请阅读:http://support.microsoft.com/default.aspx?scid=kb;en-us;330994
建议系统管理员采用 Microsoft 修补程序,预防此蠕虫的感染。
此蠕虫在 %Windir% 数据夹中创建另外两个档案。
Zip.tmp:这个是 message.zip (30,079 bytes) 的临时副本。
Exe.tmp:这个是 message.html (29,957 bytes) 的临时副本。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
使用 W32.Mimail.A@mm 杀毒工具
赛门铁克安全机制应变中心已经开发了一套工具,可用来移除 W32.Mimail.A@mm。这是移除此威胁最简易的方法。
手动杀毒
除了可以使用杀毒工具外,您还可以手动移除蠕虫。
下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写,包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。
关闭「系统还原」(Windows Me/XP)。
更新病毒定义文件。
执行完整的系统扫描,删除所有侦测到的 W32.Mimail.A@mm 档案。
删除新增至注册表里的值。
如需关于这些步骤的详细信息,请阅读下列指示。
1. 禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
有关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。
2. 更新病毒定义
Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果检测到任何文件被 W32.Mimail.A@mm 感染,请单击“删除”。
4. 从注册表中删除值
注意:对系统注册表进行任何修改之前,赛门铁克强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错,严重时将会导致数据遗失或档案受损。只修改指定的注册表键。如需详细指示,请阅读「如何为 Windows 注册表进行备份」文件。
按下「开始」,然后按下「执行」。(画面上便会出现「执行」对话框。)
键入 regedit
然后按下「确定」。(「注册表编辑器」会开启。)
跳到这个键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边窗格中的值:
"VideoDriver"="%Windir%\videodrv.exe"
结束并离开「注册表编辑器」。
受感染的电子邮件具有下列特征:
主旨:your account %s
附件:message.zip
注意:%s 是指一个变量字符串。
这个威胁利用了一个已知的安全漏洞。有关这个漏洞和 Microsoft 修补程序的讯息请阅读:http://support.microsoft.com/default.aspx?scid=kb;en-us;330994
建议系统管理员采用 Microsoft 修补程序,预防此蠕虫的感染。
此蠕虫使用 UPX 压缩方式压缩。
版本数字为 50801r,或名 August 1,2003 rev 18 或更大的病毒定义文件能够探测这个威胁。
也称为: WORM_MIMAIL.A [Trend], W32/Mimail@MM [McAfee], Win32.Mimail.A [CA], W32/Mimail-A [Sophos], I-Worm.Mimail [KAV]
类型: Worm
感染长度: approximately 16kb
受影响的系统: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
未受影响的系统: Macintosh, OS/2, UNIX, Linux
CVE 参考: CAN-2002-0980, CAN-2002-0077
如果执行 W32.Mimail.A@mm,它会进行以下动作:
将自身复制为 %Windir%\Videodrv.exe。
新增下列值:
"VideoDriver"="%Windir%\videodrv.exe"
加入注册键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
因此,当您启动 Windows 时,蠕虫就会执行。
使用它自己的 SMTP 服务器通过电子邮件传播。
受感染的电子邮件具有下列特征:
寄件者:admin@<current domain> (The from address may be spoofed as if to appear its coming from the current domain)
主旨:your account %s
内文:
Hello there,
I would like to inform you about important information regarding your email address.This email address will be expiring. Please read attachment for details.
Best regards,
Administrator
附件:Message.zip
Message.zip 含有档案 Message.htm, 此档案在 Temporary Internet Files 数据夹创建一个叫 Foo.exe 的蠕虫副本,然后将其执行。
有关这个漏洞和 Microsoft 修补程序的讯息请阅读:http://support.microsoft.com/default.aspx?scid=kb;en-us;330994
建议系统管理员采用 Microsoft 修补程序,预防此蠕虫的感染。
此蠕虫在 %Windir% 数据夹中创建另外两个档案。
Zip.tmp:这个是 message.zip (30,079 bytes) 的临时副本。
Exe.tmp:这个是 message.html (29,957 bytes) 的临时副本。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
使用 W32.Mimail.A@mm 杀毒工具
赛门铁克安全机制应变中心已经开发了一套工具,可用来移除 W32.Mimail.A@mm。这是移除此威胁最简易的方法。
手动杀毒
除了可以使用杀毒工具外,您还可以手动移除蠕虫。
下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写,包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。
关闭「系统还原」(Windows Me/XP)。
更新病毒定义文件。
执行完整的系统扫描,删除所有侦测到的 W32.Mimail.A@mm 档案。
删除新增至注册表里的值。
如需关于这些步骤的详细信息,请阅读下列指示。
1. 禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
有关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。
2. 更新病毒定义
Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果检测到任何文件被 W32.Mimail.A@mm 感染,请单击“删除”。
4. 从注册表中删除值
注意:对系统注册表进行任何修改之前,赛门铁克强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错,严重时将会导致数据遗失或档案受损。只修改指定的注册表键。如需详细指示,请阅读「如何为 Windows 注册表进行备份」文件。
按下「开始」,然后按下「执行」。(画面上便会出现「执行」对话框。)
键入 regedit
然后按下「确定」。(「注册表编辑器」会开启。)
跳到这个键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边窗格中的值:
"VideoDriver"="%Windir%\videodrv.exe"
结束并离开「注册表编辑器」。
...全文
请发表友善的回复…
发表回复
