I-Worm/Mimail.q

I-Worm/Mimail.q

病毒长度：50,720、 32,768 bytes

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me/2003

I-Worm/Mimail.q试图发送自身到从系统里找到的邮件地址，邮件正文和主题都是变化的。此外还有可能会出现一个提示对话框让你填写，从而盗取你的e-gold账号信息。此蠕虫包含了一个多态变形文件Sys32.exe和静态文件Outlook.exe。

病毒传播过程及特征：

1.在安装目录下生成Sys32.exe和Outlook.exe

2.将自身注册为一个服务进程。

3.修改注册表：

在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加"system"="%Windir%outlook.exe"键值

在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorer下添加Explorer = 1 ，Explorer2 = 1 ，Explorer3 = 1 ，Explorer4 = 1 ，Explorer5 = 1 键值

4.可能出现一个欺骗性质的错误提示对话框：

主题: Windows

正文: ERROR:Bad CRC32

5.显示一个欺骗性质的系统截止通报，提示你输入信用卡帐号和一些个人信息，这些信息存储在C:Mminfo2.txt和 C:Mminfo.txt文件里。

信息项目如下：

姓名；地址；电话号码；邮件地址；信用卡号、截止日期、确认卡号；身份证号码；社会保险号码；生日；母亲姓名；驾驶执照。

蠕虫为达此目的生成四个文件：C:logo.jpg ，C:logobig.gif ，C:Mshome.hta ，c:Wind.gif

6.搜索包含域名为e-gold.com信息的所有Cookies文件夹，如果成功则先将其临时保存在C:Tmpeg2.txt和C:Tmpgld.txt下，然后发送匿名邮件到域名为mail15.com的地址。

7.检查本地机器TCP 端口 80、 1434 和1433 是否打开，并将其信息临时保存在Serv.txt下，然后发送匿名邮件到域名为mail15.com的地址。

8.在端口30000开后门，授予黑客远程访问其它计算机的权利。

9.搜索下列文件夹里的文件：

C:

C:Program Files

Application Data

Desktop

Common Programs

Startup

注：扩展名为.com，.wav，.cab，.pdf，.rar，.zip，.tif，.psd，

.ocx，.vxd，.mp3，.mpg，.avi，.dll，.exe，.gif，.jpg，

.bmp的文件除外！！

从中找到有效的邮件地址，并将这些信息保存在安装目录下的Outlook.cfg 里，然后发送匿名邮件到域名为mail15.com的地址。

10.利用自带的SMTP引擎发送Sys32.exe到找到的邮件地址，此邮件主题，附件名字和正文都是变化的。

此外，该蠕虫病毒代码中还包含了一些文字，威胁说要对某ISP进行DoS攻击，任何阻截该病毒把窃取到的信息发送给病毒作者的ISP也将遭到DoS攻击。