基本内容

I-Worm/Mimail.s (邮米)

是原I-Worm/Mimail的变种病毒，该蠕虫程序大小是：11520字节。该蠕虫通过修改系统注册表的启动项来达到自动运行自身的目的，江民杀毒软件首创的注册表监视功能使得即使不升级查杀病毒数据库也能监视到该蠕虫对系统注册表的修改。病毒传播的方式是群发电子邮件，还会显示虚假信息，诱骗用户的信用卡资料。详细分析如下：

当病毒运行后，将自身复制成%WinDir%\rabbit.exe，%WinDir%\x，然后启动rabbit.exe

在注册表启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run中添加新项"RabbitWannaHome"="%Windir%\rabbit.exe"，这样在下次Windows系统启动时病毒就可以自动运行了。

开启3个线程，分别完成下面的事情：

从硬盘的C:\ 、C:\Program Files\ 、Application Data Folder 、Desktop 、Common Programs Folder 、Startup Folder 、Templates 、Documents 、Favorites目录遍历文件，从中搜索合法的email地址，并把找到的地址记录在%WinDir%\outlook.cfg文件中。为了加快搜索效率，病毒会直接跳过扩展名为 .com 、.wav 、.cab 、.pdf 、.rar 、.zip 、.tif 、.psd 、.ocx 、.vxd 、.mp3 、.mpg 、

.avi 、.dll 、.exe 、.gif 、.jpg 、.bmp的文件。

向保存在outlook.cfg中的email地址发送带毒电子邮件，病毒产生的邮件内容有多达数十处关键词语可随机变换，总共有上万亿种变化的可能。大体意思是说“我偷怕了某某人的一些激情图片和影片，不要把它给你的某某家里人看哦……”，下面是一个样本：

Hello Johanna

I shocked

My dad had wild sex last evening with the boss of Joseph!

And I switched on my digital toshiba camera and create some cool pictures %-)))

And don't show it to your bro, okay?

附件即使病毒本身，大小11520字节，名称中带有pic、img、phot、photos、pctrs、images、imgs、scene、plp、act、action等字样，扩展名可能为.pif、.scr、 .exe、 .jpg.scr、 .jpg.pif、 .gif.exe、 .gif.gif、 .gif.scr

每隔2秒通过访问http://www.google.com来判断用户当前是否联网，如果没有联网，病毒将会暂时休眠，不向网上发信传播。

每隔30秒，生成脚本文件c:\ms.hta，并运行它。这个脚本显示Windows过期等虚假信息（见图1），企图诱使用户添写信用卡帐号和密码。病毒把骗得的用户资料保存在c:\xx，定时发送到3个电子邮件地址（juashjd@ziplip.com；lozinsky@mail15.com；imap.mail15.com）。