近日网络中心截获一种新病毒,该病毒通过邮件附件传播,用户如果打开附件,就会中招,将以用户的邮件地址不停地向外广发含有该病毒的邮件,造成邮件病毒的进一步传播,同时造成用户无法正常地收发邮件活动。 该含病毒邮件基本特征: 发件人为:support@microsoft.com 主题为:(以下任一) Approved (Ref: 38446-263) Cool screensaver Re: Approved (Ref: 3394-65467) Re: Movie Re: My application Re: My details Screensaver Your details Your password 正文一般为:“All information is in the attached file.” 附件为: (以下任一) application.pif approved.pif doc_details.pif movie28.pif password.pif ref-394755.pif screen_doc.pif screen_temp.pif your_details.pif
解决办法:用户在发现含有该.pif或 .ceo附件的邮件,立即彻底从硬盘完全删除即可。已经染毒的用户请下载金山毒霸“巨无霸”专杀工具,进行杀毒。
相关情况一: 该蠕虫为WORM_SOBIG.A 的变种,趋势科技早于5月19日即发布了可以侦测该蠕虫的542版本的病毒码版本。 通过对这几天情况的观察,该病毒在中国的感染情况目前又有进一步扩大趋向。因此,趋势科技中国决定 发布针对该蠕虫病毒的局部中度风险警报。
――――――――――――――――――――
<>警报级别:[中度(Yellow Alert)] <>警报日期:[ 2003.5.22 ]
<>病毒名称:[ WORM_SOBIG.B ] <>传染途径:[ 电子邮件及网络共享 ] <>需要的病毒码更新版本:[ 542 ]
―――――――――――――――――――― 病毒感染症状和技术分析:
该蠕虫通过自身的SMTP引擎,将自身作为邮件的附件发送到其他的用户。发送的电子邮件详细信息如下: 发件人: support@microsoft.com
主题: (以下任一) Approved (Ref: 38446-263) Cool screensaver Re: Approved (Ref: 3394-65467) Re: Movie Re: My application Re: My details Screensaver Your details Your password
正文: All information is in the attached file.
附件: (以下任一) application.pif approved.pif doc_details.pif movie28.pif password.pif ref-394755.pif screen_doc.pif screen_temp.pif your_details.pif
从中可以看出,该蠕虫将自己发送的邮件伪装成来自微软的技术支持部门,欺骗性较大,以使用户运行邮件中的附件,达到感染的目的。
同时,该蠕虫也会将自身复制到网络中的共享,通过将自身复制到如下目录完成这一过程: Documents and SettingsAll UsersStart MenuProgramsStartup WindowsAll UsersStart MenuProgramsStartUp
另外,该蠕虫会从www.geocities.com网站下载数据
此外,该蠕虫并不具有破坏性行为。
趋势科技敬告用户,在收到邮件的同时请注意确认邮件附件的合法性,不要轻易的打开邮件中的可执行类型的附件,同时请注意更新病毒码至542以上,以保证您使用的趋势科技产品可以有效检测该蠕虫程序。
该蠕虫可在 Windows 95, 98, ME, NT, 2000, 和 XP 平台上运行. ――――――――――――――――――――
相关情况二:
据国内著名反病毒厂商金山公司报道,5月19日,该病毒检测中心再次率先查杀恶性蠕虫病毒“巨无霸(Wrom.Sobig.b.50586)”的最新变种。该病毒的第一个版本曾是今年首个四级蠕虫病毒,此次变种假借微软之名进行传播,使扩散更具诱惑性。
“巨无霸”变种主要通过邮件传播,可恶的是该病毒将发件人地址伪装为support@microsoft.com,让人误以为是微软公司发布的相关产品信息,大大增加了收件人打开附件的可能性。病毒邮件附件是一个扩展名为“PIF”的文件,很多用户不太熟悉这种文件而轻易将他打开。其实PIF文件是一种可执行文件,用户只要双击附件就会被感染,这也是该病毒欺骗用户的另外一个重要原因。网络管理员应该尽快通知用户提高警惕,也可以设置相应邮件规则过滤来自support@microsoft.com的邮件。
据金山反病毒中心技术人员分析,这个最新的“巨无霸”病毒变种,除具有上一版本的所有功能外,还增加了加密功能,以此来躲避杀毒软件的查杀。病毒启动后,将搜索地址簿中的所有Email地址,并向这些地址发送病毒邮件,大量病毒邮件将会给企业邮件服务器造成巨大压力。该蠕虫病毒还可通过访问局域网共享文件夹进行传播,用户在联网的情况下,还会试图从不同网址上下载数据,这将会对中招系统产生更严重的破坏。
“巨无霸”变种目前已经导致89个国家的电脑受到入侵,金山反病毒中心已经进行紧急升级,请广大毒霸用户立即升级到最新版防范此病毒入侵。没有金山毒霸的用户,可以登录duba.net 下载最新的“巨无霸”专杀工具查杀。
相关情况三: 病毒警告:又一种电脑新病毒在因特网上蔓延
俄罗斯和美国的两家反病毒软件公司20日同时发出警告,一种新的电脑病毒正通过电子邮件在因特网上蔓延,病毒一旦发作可能导致用户电脑上的文件被删除。
据报道,这种新病毒是一种蠕虫病毒(worm.winevar),“潜藏”在电子邮件附件中,附件的文件格式一般为“.pif”或 “.ceo”。病毒本身做了反跟踪设计,当用户试图打开电子邮件附件时,它发现自己被跟踪,会弹出一个对话框,屏幕上就出现一行字:“你做了一件多么愚蠢的事!”。
这种病毒还会尝试从http://www.symantec.com/上下载文件,如果失败,此病毒将放出funlove病毒并退出。病毒还利用邮件传播,并把自己复制到桌面上命名为explorer.pif,同时删除各硬盘分区里的所有文件。
俄罗斯一家名为“K a s p e r s k y”的反病毒软件公司说,他们上周发现了这种病毒,最近几天这一病毒的传播呈加剧之势。
美国“Symantec”反病毒软件公司说,电子邮件用户一旦打开带有这种病毒的附件,病毒就会试图中断电脑上反病毒程序的运行。这家公司建议电子邮件用户不要打开电子邮件中以“.pif”或 “.ceo”结尾的附件并及时升级目前使用的反病毒程序。
|