“小邮差”（worm_mimail.a）病毒于8月1日首次出现，该病毒目前在美国、欧洲传播较为迅速，我国用户也出现了感染案例，该用户由于打开了病毒邮件，遭受了该病毒的感染。遭受该病毒感染后，病毒对不断向外发送染毒邮件，导致病毒进一步扩散，同时系统内存被大量占用，使得系统运行速度减慢。 

　　该病毒的传播利用了已知的漏洞，相关漏洞查询请参见 

　　ms02-15 http://www.microsoft.com/technet/treeview/ 

　　default.asp?url=/technet/security/bulletin/ms02-015.asp 

　　以及ms03-14 http://www.microsoft.com/technet/treeview/ 

　　default.asp?url=/technet/security/bulletin/ms03-014.asp 

　　并请到以下链接下载升级文件 

　　http://www.microsoft.com/windows/ie/downloads/critical/ 

　　330994/default.asp 

　　国家计算机病毒应急处理中心提醒广大用户，及时下载安装补丁程序。留意该病毒的主要特征，遇到此类邮件不要打开，应立即删除。 

　　 

　　该病毒的技术报告如下： 

　　病毒名称：“小邮差”（worm_mimail.a） 

　　病毒类型：蠕虫 

　　感染系统：windows 95/98/me/nt/2000/xp 

　　病毒特征： 

　　该病毒的传播利用了已知的漏洞，病毒同时使用upx进行压缩。 

　　1、通过电子邮件进行传播 

　　病毒通过自身的smtp引擎传播，通过电子邮件进行传播时，伪装成管理员发给用户的邮件，并声称该用户所使用的电子邮件地址将要到期，诱骗用户打开邮件附件，从而感染病毒。病毒邮件格式如下： 

　　发信人：admin@%x%（%x%为可变的，经常伪装成邮件用户所在域） 

　　主题：your account %y%（%y%为任意字符） 

　　内容： 

　　hello there, 

　　i would like to inform you about important information regarding your email address. this email address will be expiring. please read attachment for details. 

　　best regards,administrator %z%（%z%为任意字符） 

　　附件：message.zip 

　　附件message.zip包含一个html文件和一个经upx压缩的win32可执行文件。当打开html时，恶意程序代码就被执行了（利用internet explorer的漏洞），之后.exe文件被执行，该程序为病毒的主体。 

　　除了以下18种类型的文件之外，病毒在被感染用户的计算机上搜索剩余所有类型的文件，寻找可用的电子邮件地址，并向这些地址发送带有病毒的电子邮件。这18种类型的文件包括.avi、.bmp、.cab、.com、.dll、.exe、.gif、.jpg、.mp3、 

　　.mpg、.ocx、.pdf、.psd、.rar、.tif、.vxd、.wav和.zip。 

　　2、生成病毒文件 

　　病毒一旦运行，蠕虫在windows文件夹中生成自身拷贝，并命名为videodrv.exe。（windows目录通常为c:windows或c:winnt），另外，病毒同时在windows目录中生成下列三个文件： 

　　eml.tmp--从本地计算机中搜集的邮件地址列表。 

　　zip.tmp--message.zip的临时文件，病毒发送的邮件时使用的zip附件 

　　exe.tmp--html以及经upx压缩的win32 exe 文件。 

　　3、修改注册表 

　　病毒对注册表进行修改，使得病毒能够随系统启动而自动运行 

　　hkey_local_machinesoftwaremicrosoftwindows 

　　currentversionrun "videodriver"="%windows% 

　　videodrv.exe" 

　　病毒还创建以下注册表项目 

　　hkey_local_machinesoftware>microsoft>code store database>distribution units {11111111-1111-1111-1111-111111111111} 

　　清除病毒的相关操作 

　　1、删除病毒电子邮件 

　　2、 终止病毒进程 

　　windows 9x/me系统，同时按下ctrl+alt+delete键， 

　　windows nt/2000/xp系统，同时按下ctrl+shift+esc键， 

　　选中正在运行的病毒进程videodrv.exe，并终止该进程的运行。 

　　3、对注册表进行恢复 

　　（1）点击“开始->运行”，输入regedit.exe并回车 

　　（2）依次双击左侧面板中的 hkey_local_machinesoftware 

　　microsoftwindowscurrentversionrun，在右侧列表中查找并删除以下项目："videodriver"="%windows%videodrv.exe" 

　　（其中%windows%为windows目录，通常为c:windows或c:winnt） 

　　（3）依次双击左侧面板中的 hkey_local_machine>software> 

　　microsoft>code store database>distribution units， 

　　在右侧列表中查找并删除以下项目：{11111111-1111-1111-1111-111111111111} 

　　4、删除病毒文件 

　　查找病毒文件eml.tmp、zip.tmp、exe.tmp并删除。 

　　5、使用杀毒软件对计算机进行全面的病毒清除  

 来源：新华网