本栏目由趋势科技提供
MIMAIL.A假冒系统管理者发布 eMail 即将无效通知信
网络安全领先者趋势科技(8月2日发布中度风险病毒警讯,一只名为 “WORM_MIMAIL.A”的新病毒,通过电子邮件的方式,迅速在全球各地扩散。要特别注意的是,此次病毒是利用耸动电子邮件内容警告受害者如下:"你的电子邮件将要无效,请阅读相关重要的讯息"并署名Administrator<管理者>所发出。
收件人: admin@%n%
主题: your account %n%
正文:
Hello there,
I would like to inform you about important information regarding your
email address. This email address will be expiring.
Please read attachment for details.
Best regards, Administrator
%n%
附件: "message.zip"
(注意: %n% 为一个可变的字符串.)
目前已知在美国与德国已经有灾情陆续传出。对此趋势科技已掌握以上病毒,并且也对所有用户发布病毒警讯,同时趋势科技呼吁使用者对于来路不明的电子邮件千万不要随意开启,并即刻更新扫瞄引擎至6.5以上和病毒码至598(含)以上,并立即至趋势科技网站下载清除程序以侦测及清除此病毒。
“WORM_MIMAIL.A”过期病毒主要是以管理者的身份发出耸动的内容告知收件者,说明电子邮件即将无效请尽快阅读附件"message.zip"。一般使用者因为担心自己的电子邮件即将无效无法再使用,因而不疑有他打开附件而中毒。使用者一旦中毒以后,病毒立即通过自己的邮件发送引擎寄发该受害者的朋友,造成毒信在网络上大量散播,并且使得网络壅塞影响上网品质。网友若发现收到中毒信件请立即删除,并立即更新扫瞄引擎至6.5以上和病毒码至598(含)以上以侦测并清除此病毒。若不幸已经中毒,请立即至趋势科技网站下载清除程序,并按照解毒步骤处理。目前已知 Window 95/98/ME/NT/2000/Xp 的用户皆有可能感染。
趋势科技提醒企业用户需立即采取防护措施,若有安装趋势科技EPS企业安全防护策略,可以设定针对此特定邮件主旨(your account %n%)及附件(message.zip)进行拦截删除的动作。
根据以上病毒,趋势科技呼吁计算机用户有以下几个建议:
1.不随便开启来路不明的电子邮件,以及执行附件。
2.安装防毒软件并随时更新病毒码与扫毒引擎,以侦测及清除此病毒。
3.企业用户若有安装趋势科技EPS企业安全防护策略,可以设定针对此特定邮件主旨(your account %n%)及附件文件(message.zip)进行拦截删除的动作。
4.个人用户可利用HouseCall趋势科技免费在线扫毒服务
以便为计算机检测除毒。
5.养成数据备份的好习惯。
WORM_GRUE 冒充补丁或防毒程序,通过 eMail 及KaZaA 散播
根据趋势科技全球防病毒研究暨技术支持中心-TrendLabs表示,近期有些病毒以邮件的形式传播,冒充一些软件厂商的通知邮件。因此,趋势科技提醒客户注意及时更新病毒码,以便能够扫描邮件中夹带的病毒,避免被感染。如果没有使用防毒软件,请先将附件存入硬盘后,再使用趋势科技免费在线扫毒服务http://www.trendmicro.com.cn/housecall/overview.htm,检查是否含有病毒。
WORM_GUREL 系列病毒以 " Symantec: New serious virus found"、 " Microsoft Windows Critical Update" 为主题,诱骗使用者以为有新的防毒工具或补丁程序,而点击附件,因而上当。WORM_GRUEL 有一系列变种,通过电子邮件以及点对点的文件共享软件:KaZaA传播。其破坏力包含删除文件、修改Internet Explorer标题栏、打开CD-ROM驱动器,并且禁用Windows部分功能,例如搜索和运行功能。
以WORM_GRUEL.D为例,该蠕虫发送的电子邮件内容如下:
主题: Microsoft Windows Critical Update
正文: Critical Update: The Microsoft Windows updates found on this patch include fixes to following Windows operating systems: Any update that is critical to the operation of your computer is considered a Critical Update, and is automatically selected for installation during the scan for available updates. This patch is provided to help resolve known issues, and to protect your computer from known security vulnerabilities and all kinds of viruses. Whether a patch applies to your operating system, software programs, or hardware, it is listed in the Critical Updates category, like this patch attached. For Support please contact us at support@microsoft.com
附件: Rundll32.exe
或者作为文件"Windows XP Keygen 2.5.exe"从Kazaa下载。
另一只WORM_GRUEL.E,则佯装是防毒软件厂商发出的病毒警告信,其内容如下:
主题: Symantec: New serious virus found
正文:
Norton Security Response: has detected a new virus in the Internet. For this reason we made this tool attachement, to protect your computer from this serious virus. Due to the number of submissions received from customers, Symantec Security Response has upgraded this threat to a Category 5 (Maximum ).附件: Rundll32.exe 或 Mail Key 1.3 Trial.exe
或者作为文件"Matrix Reloaded 2 avi.exe"从Kazaa下载
对该病毒的防护可以从以下连接下载最新版本的病毒码:
http://www.trendmicro.com.cn/corporate/downloads/downloads.htm
病毒详细信息,可以查询:
http://www.trendmicro.com.cn/vinfo/virusencyclo/default5.asp?VName=WORM_GRUEL.D
" KLEZ 求职信"亦曾冒充微软与防毒厂商发警告信
其实冒充知名厂商发警告信的招数, KLEZ 求职信也用过,在去年求职信如火如荼进行时,有人却因为急于解毒或害怕中毒,而误入这样信件主题圈套:" W32.Klez.E removal tools" (移除求职信工具)。 “求职信WORM_KLEZ.G“的主旨标在随机取样下,还可能出现以下看似防毒软件或微软公司发出的信件主旨,让使用者即使关闭预览窗格,也可能因为标题误导而双击鼠标开启附件:
* a XX patch (如 IE 6.0 patch 、WinXP patch)
* XX removal tools (如W32.Klez.E removal tools)
值得一提的是,病毒作者相当狡猾,如果被感染者收到上述" W32.Klez.E removal tools"这个看似.Klez.E解毒程序的标题信件,还会收到几乎难分真伪的内文,大意是说:
Klez.E是只很狡猾的病毒,多数的防毒软件无法侦测,附件的杀毒工具完全免费,只要执行一次,求职信再也不会来犯狡猾的是
信中还刻意提到,若遇到防毒软件程序的警告请不用理会。但若使用者选择继续执行话,那可真的中了它的反间计了。其中可能含有另一只PE_ELKERN.D 病毒,它会感染所有网络上共享的档案,并将文件内容置换为病毒本身。
趋势科技提醒使用者,未经求证的病毒警告信,或不明来源的文件,切忌千万别轻易开启。
怀疑中毒吗?请将可疑中毒文件 eMail 至:service@trendmicro.com.cn欲知更多防毒信息,请拨800-8208876
欲了解更多趋势科技产品请上网查询:www.trendmicro.com.cn
网友评论