警惕程度：★★★★
发作时间：随机
病毒类型：蠕虫病毒
传播途径：邮件
依赖系统: WINDOWS 9X/NT/2000/XP

病毒介绍：
11月17日，瑞星全球反病毒监测网截获了恶性蠕虫“小邮差”病毒的最新变种：“小邮差变种I(Worm.Mimail.I)”，据了解，该病毒是“小邮差”病毒家族的第9个变种，该病毒变种并不象上几个病毒变种那样攻击某些网站，而是伪装成信用卡信息填写栏来骗取用户的信用卡信息，经常进行线上交易的用户要特别注意该病毒的动向，以免中招，给自己造成不必要的经济损失。

病毒运行后会释放出c:\pp.hta、c:\pp.gif两个病毒文件，并用运行其中的一个文件，这时就会出现一个假的信用卡信息填写栏，如果用户信以为真而填写上自己的信用卡信息的话，这些信息就会被病毒保存在c:\ppinfo.sys文件内，然后通过网络发送到病毒作者指定的信箱。另外该病毒会搜索用户电脑中的E-MAIL地址，向外发送标题为：“YOUR PAYPAL.COM ACCOUNT EXPIRES”，附件为：“www.***paypal.com.scr”的带毒邮件，使病毒在网上大量泛滥，导致网络阻塞。
 
病毒的特性、发现与清除：

1. 该病毒运行后首先将自己复制到system目录下路径为：%system32%svchost32.exe，用户可以在计算机中查找该病毒文件，找到后删除。

注意：%system32%一个变量，它是指它指的是NT操作系统安装目录中的系统目录，默认是：“c:\Winnt\system32”。

2. 病毒会修改注册表的自启动项：“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”，在其中添加：“SvcHost32”的病毒键值，用户可以利用REGEDIT等注册表编辑工具查找该病毒键值，找到后删除。

3. 病毒会放出c:\pp.hta和c:\pp.gif文件并用IE启动该hta文件，（该脚本为一个假的信用卡信息 填写栏），病毒还会利用该脚本把用户输入的信用卡信息记录到c:\ppinfo.sys文件内，用户可查找这几个文件，找到后删除。

4. 病毒会搜索：com. Wav. Cab. Pdf. Rar. Zip. Tif. Psd. Ocx. Vxd. Mp3. Mpg. Avi. Dll. Exe. Gif.jpg. Bmp这些类型的文件，在其中寻找有效的电子邮件地址，将这些地址记录到el388.tmp文件里。

5. 病毒会通过向外发送带毒邮件的方式来阻塞网络,
 邮件标题为：
    YOUR PAYPAL.COM ACCOUNT EXPIRES
 内容为：
    Dear PayPal member,PayPal would like to inform you about some important
information regarding your PayPal account. This account, which is
associated with the email address.
Will be expiring within five business days.  We apologize for any inconvenience
that this may cause, but this is occurring because all of our customers
are required to update their account settings with their personal information…
We are taking these actions because we  are
implementing a new security policy on
our website to insure everyone's absolute  privacy. To avoid any interruption in
PayPal
 services then you will need to run the  application that we have sent with this
email (see attachment) and follow the instructions. 
Please do not send your personal information through email, as it will not be as
 secure IMPORTANT! If you do not update your
information with our secure application
 within the next five business days then we will be forced to deactivate your
account and you will  not be able to use your PayPal account any longer.
It is strongly recommended that you  take a few minutes out of your busy
day and complete this now…
DO NOT REPLY TO THIS MESSAGE VIA EMAIL!
This mail is sent by an automated message
system and the reply will not be received
           Thank you for using PayPal
附件名：
  www.***paypal.com.scr ，如果用户收到有以上内容的邮件，请直接删除该邮件，不要运行附件。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“小邮差变种I(Worm.Mimail.I)”病毒，为避免用户遭受损失，瑞星公司已于截获该病毒当天就进行了升级，瑞星杀毒软件2004版、瑞星在线杀毒、瑞星杀毒软件2004“下载版”，这三款产品每周三次同步升级，16.01版已可清除此病毒，目前瑞星用户只需升级到该版本即可彻底拦截此病毒。

对于手中没有杀毒软件的用户，可以根据以上提示进行手工清除，也可以使用瑞星在线杀毒产品进行杀毒，用户只要登陆网址：http://online.rising.com.cn，即可清除该病毒。除此之外，用户还可以到http://it.rising.com.cn/service/technology/tool.htm网址来下载免费的病毒专杀工具清除该病毒。

如果用户遇到异常情况，还可拨打瑞星反病毒急救电话：010-82678800和瑞星紧急救援小组上门服务热线（限北京地区）：010-82678866-552，瑞星反病毒专家将为您提供全方位的技术支持与服务！

瑞星反病毒专家的安全建议：

1. 建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。

2. 关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。

3. 经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，象红色代码、尼姆达等病毒，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然。

4. 使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。

5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

6. 了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏：如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。

7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、遇到问题要上报， 这样才能真正保障计算机的安全。