2月19日上午,金山毒霸反病毒实验室应急处理中心在国内率先截获一个利用邮件高速传播的恶性蠕虫病毒,命名为“Worm.NetSky.B”。
2月19日上午,金山毒霸反病毒实验室应急处理中心在国内率先截获一个利用邮件高速传播的恶性蠕虫病毒,命名为“Worm.NetSky.B”。从金山毒霸反病毒实验室了解,该病毒已经于昨晚开始在亚洲和欧洲出现大面积传播,相信近日内将会逐渐传入国内。该病毒利用自己的发信引擎使中毒用户不易查觉,大规模的发送垃圾邮件,这将又可能是网络及网络邮件服务器的一场恶梦。更恶毒的是,它会搜索受感染系统的A到Z盘,查找名字包含“share或sharing”的文件夹,如果查到,它会释放一个病毒复本,并且复本会使用WORD文档的图标。而有此特征的文件夹通常是一些P2P(点对点共享工具)软件共享文件夹的名字,因此该病毒还具有利用P2P软件进行传播的能力,更加大了其传播的危害性。
据金山反病毒工程师介绍,该病毒在首次运行会弹出如下窗口,隐藏自己的执行,使用户对其放松警惕:
该病毒在激活后,如果发现受感染的系统没有CD-ROM,它会用以下的文件名在每一个文件夹下面释放病毒复本,并且会伪装成WORD文档:
doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
e.book.doc.exe
programming basics.doc.exe
下图为病毒发送的病毒邮件例子:
病毒通过搜索系统中可能包含邮件地址的文件获得电子邮件地址,使用自己的SMTP引擎大量发送病毒邮件,其邮件特征如下:
发件人: <欺骗性的邮件地址> 从病毒搜索的邮件地址中任意选择
可能的主题:
hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown
可能的邮件内容:
anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
.......................
附件: (附件名称使用双后缀名,可能是ZIP压缩包,或是伪装成WORD文档,或是其它可执行文件)
金山毒霸反病毒中心提醒广大网络用户在收到以上特征邮件时,一定不要轻易打开附件,以免中招。近期大量以邮件传播的蠕虫病毒的出现,其攻击目标都是邮件服务,使用大量病毒垃圾邮件来拖垮邮件服务器的正常运营。金山公司在此积极呼吁,广大用户尤其是企业用户要提高自己信息安全意识,及时升级自己的反病毒软件,做好反病毒措施,以免对自己的企业正常运营造成不必要的损失。
(来源:金山毒霸)
网友评论