关于W32.Mimail.C@mm（最近换成imail之后老收到james@XXXX.com的邮件）

kakafaint

我服务器上没有这个病毒呀但是很多用户都收到<br>主旨： Re[2]: our private photos [变量字符串]<br>附件： photos.zip<br>
的email<br>
<br>
我是不是可以在rule中加规则？

钉子

1.首先确保自己的服务没有中病毒.有关情况参考如下.<br>
2.在主机的规删中删除Form James@xxxx.com的邮件就可以了.<br>
参考资料:<br>
恶性蠕虫病毒W32.Mimail.C@mm肆虐 <br>
作者：zjl 发文时间：2003.11.08 <br><br>
全球领先的互联网安全技术与解决方案供应商赛门铁克公司（纳斯达克：SYMC）日前率先发现了W32.Mimail.C@mm蠕虫病毒，赛门铁克安全响应中心将该病毒的威胁级别从2级上升到了3级，并及时提供了解决方案。 <br>
<br>
W32.Mimail.C@mm 是 W32.Mimail.A@mm 的一个变种。病毒特征如下： <br>
<br>
●别名：W32/Mimail.c@mm [McAfee], WORM_MIMAIL.C [Trend], W32/Mimail-C [Sophos], <br>
<br>
I-Worm.Mimail.c [Kaspersky], Win32.Mimail.C [Computer Associates] <br>
<br>
●病毒类型：蠕虫 <br>
<br>
●感染长度：12,832 字节 <br>
<br>
●受感染系统：Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, <br>
<br>
Windows Server 2003, Windows XP <br>
<br>
●不会受感染系统：Linux, Macintosh, OS/2, UNIX, Windows 3.x <br>
<br>
W32.Mimail.C@mm通过电子邮件传播，并从感染的计算机用户桌面和电子邮件上窃取信息。受感染的电子邮件具有下列特征： <br>
<br>
寄件者：james@ (该地址可能是经过伪装的，使其看起来是从当前域名发出。)主旨： Re[2]: our private photos [变量字符串] <br>
<br>
<br>
<br>
附件：photos.zip <br>
<br>
正文内容： <br>
<br>
Hello Dear!, <br>
<br>
Finally i've found possibility to right u, my lovely girl :) <br>
<br>
All our photos which i've made at the beach (even when u're without ur bh:)) <br>
<br>
photos are great! This evening i'll come and we'll make the best SEX :) <br>
<br>
Right now enjoy the photos. <br>
<br>
Kiss, James. <br>
<br>
[变量字符串] <br>
<br>
赛门铁克响应中心仍然在研究这个蠕虫病毒是否利用了微软系统的两个漏洞-- MS02-15 和 MS03-14。赛门铁克建议系统管理员采用 Microsoft 修补程序，预防此蠕虫的感染。用户可以通过访问以下网址下载微软补丁程序<a target=_blank href=http://www.microsoft.com/windows/ie/downloads/critical/330994/default.asp>http://www.microsoft.com/windows/ie/downloads/critical/330994/default.asp</a> <br>
<br>
针对包括 Symantec AntiVirus 与 Norton AntiVirus在内的赛门铁克最新的防毒产品，赛门铁克建议用户按照下列指示移出该病毒。 <br>
<br>
1.关闭「系统还原」(Windows Me/XP)。 <br>
<br>
2.更新病毒定义文件。 <br>
<br>
3.执行完整的系统扫描，删除所有侦测到的 W32.Mimail.C@mm 档案。 <br>
<br>
4.删除新增至注册表里的值。 <br>
<br>
有关该蠕虫的清除工具和其他详细资料，请访问： <br>
<br>
<a target=_blank href=http://securityresponsesymantec.com/avcenter/venc/data/w32.mimail.c@mm.html>http://securityresponsesymantec.com/avcenter/venc/data/w32.mimail.c@mm.html</a> <br><br>

kakafaint

在outbound中加<br>
FIELD: form<br>contains <br>
PHRASE: james@XXXXX.com Case sensitive match <br>
RULE: From contains james@XXXXX.com <br>
这样是不是就可以了<br>
<br><br><br>

钉子

看结果如何>