工作动态

当前位置>> 首页 >> 工作动态 >> 通知公告 >> 正文

紧急防毒通知:请勿打开含有.pif或 .ceo附件的邮件

浏览量:时间:2003-05-22

近日网络中心截获一种新病毒,该病毒通过邮件附件传播,用户如果打开附件,就会中招,将以用户的邮件地址不停地向外广发含有该病毒的邮件,造成邮件病毒的进一步传播,同时造成用户无法正常地收发邮件活动。
该含病毒邮件基本特征:
发件人为:support@microsoft.com
主题为:(以下任一)
Approved (Ref: 38446-263) 
Cool screensaver 
Re: Approved (Ref: 3394-65467) 
Re: Movie 
Re: My application
Re: My details 
Screensaver 
Your details 
Your password 
正文一般为:“All information is in the attached file.”
附件为: (以下任一)
application.pif
approved.pif 
doc_details.pif 
movie28.pif 
password.pif 
ref-394755.pif 
screen_doc.pif 
screen_temp.pif 
your_details.pif 

解决办法:用户在发现含有该.pif或 .ceo附件的邮件,立即彻底从硬盘完全删除即可。已经染毒的用户请下载金山毒霸“巨无霸”专杀工具,进行杀毒。


相关情况一:
该蠕虫为WORM_SOBIG.A 的变种,趋势科技早于5月19日即发布了可以侦测该蠕虫的542版本的病毒码版本。
通过对这几天情况的观察,该病毒在中国的感染情况目前又有进一步扩大趋向。因此,趋势科技中国决定
发布针对该蠕虫病毒的局部中度风险警报。

――――――――――――――――――――

<>警报级别:[中度(Yellow Alert)]
<>警报日期:[ 2003.5.22 ]

<>病毒名称:[ WORM_SOBIG.B ]
<>传染途径:[ 电子邮件及网络共享 ]
<>需要的病毒码更新版本:[ 542 ]

――――――――――――――――――――
病毒感染症状和技术分析:

该蠕虫通过自身的SMTP引擎,将自身作为邮件的附件发送到其他的用户。发送的电子邮件详细信息如下:
发件人: support@microsoft.com

主题: (以下任一)
Approved (Ref: 38446-263) 
Cool screensaver 
Re: Approved (Ref: 3394-65467) 
Re: Movie 
Re: My application
Re: My details 
Screensaver 
Your details 
Your password 

正文:
All information is in the attached file.

附件: (以下任一)
application.pif
approved.pif 
doc_details.pif 
movie28.pif 
password.pif 
ref-394755.pif 
screen_doc.pif 
screen_temp.pif 
your_details.pif 

从中可以看出,该蠕虫将自己发送的邮件伪装成来自微软的技术支持部门,欺骗性较大,以使用户运行邮件中的附件,达到感染的目的。

同时,该蠕虫也会将自身复制到网络中的共享,通过将自身复制到如下目录完成这一过程:
 Documents and SettingsAll UsersStart MenuProgramsStartup 
 WindowsAll UsersStart MenuProgramsStartUp

另外,该蠕虫会从www.geocities.com网站下载数据

此外,该蠕虫并不具有破坏性行为。

趋势科技敬告用户,在收到邮件的同时请注意确认邮件附件的合法性,不要轻易的打开邮件中的可执行类型的附件,同时请注意更新病毒码至542以上,以保证您使用的趋势科技产品可以有效检测该蠕虫程序。

该蠕虫可在 Windows 95, 98, ME, NT, 2000, 和 XP 平台上运行. 
――――――――――――――――――――      

相关情况二:

据国内著名反病毒厂商金山公司报道,5月19日,该病毒检测中心再次率先查杀恶性蠕虫病毒“巨无霸(Wrom.Sobig.b.50586)”的最新变种。该病毒的第一个版本曾是今年首个四级蠕虫病毒,此次变种假借微软之名进行传播,使扩散更具诱惑性。

  “巨无霸”变种主要通过邮件传播,可恶的是该病毒将发件人地址伪装为support@microsoft.com,让人误以为是微软公司发布的相关产品信息,大大增加了收件人打开附件的可能性。病毒邮件附件是一个扩展名为“PIF”的文件,很多用户不太熟悉这种文件而轻易将他打开。其实PIF文件是一种可执行文件,用户只要双击附件就会被感染,这也是该病毒欺骗用户的另外一个重要原因。网络管理员应该尽快通知用户提高警惕,也可以设置相应邮件规则过滤来自support@microsoft.com的邮件。

  据金山反病毒中心技术人员分析,这个最新的“巨无霸”病毒变种,除具有上一版本的所有功能外,还增加了加密功能,以此来躲避杀毒软件的查杀。病毒启动后,将搜索地址簿中的所有Email地址,并向这些地址发送病毒邮件,大量病毒邮件将会给企业邮件服务器造成巨大压力。该蠕虫病毒还可通过访问局域网共享文件夹进行传播,用户在联网的情况下,还会试图从不同网址上下载数据,这将会对中招系统产生更严重的破坏。

  “巨无霸”变种目前已经导致89个国家的电脑受到入侵,金山反病毒中心已经进行紧急升级,请广大毒霸用户立即升级到最新版防范此病毒入侵。没有金山毒霸的用户,可以登录duba.net 下载最新的“巨无霸”专杀工具查杀。

相关情况三:
病毒警告:又一种电脑新病毒在因特网上蔓延 

  俄罗斯和美国的两家反病毒软件公司20日同时发出警告,一种新的电脑病毒正通过电子邮件在因特网上蔓延,病毒一旦发作可能导致用户电脑上的文件被删除。 

 
  据报道,这种新病毒是一种蠕虫病毒(worm.winevar),“潜藏”在电子邮件附件中,附件的文件格式一般为“.pif”或 “.ceo”。病毒本身做了反跟踪设计,当用户试图打开电子邮件附件时,它发现自己被跟踪,会弹出一个对话框,屏幕上就出现一行字:“你做了一件多么愚蠢的事!”。 

  这种病毒还会尝试从http://www.symantec.com/上下载文件,如果失败,此病毒将放出funlove病毒并退出。病毒还利用邮件传播,并把自己复制到桌面上命名为explorer.pif,同时删除各硬盘分区里的所有文件。 

  俄罗斯一家名为“K a s p e r s k y”的反病毒软件公司说,他们上周发现了这种病毒,最近几天这一病毒的传播呈加剧之势。 

  美国“Symantec”反病毒软件公司说,电子邮件用户一旦打开带有这种病毒的附件,病毒就会试图中断电脑上反病毒程序的运行。这家公司建议电子邮件用户不要打开电子邮件中以“.pif”或 “.ceo”结尾的附件并及时升级目前使用的反病毒程序。


 

版权所有:合肥工业大学信息化建设与管理办公室 Copyright © 2021 Hefei University of Technology . All Rights Reserved