趋势科技3月15日晚针对“贝革热”新型变种病毒(WORM_BAGLE.P)再次发布中度风险病毒警报,目前这个病毒正在日本、韩国、美国和德国迅速传播。
病毒特征“贝革热”新型变种病毒全球中度风险病毒警报
自带SMTP邮件发送引擎
终止部分防毒或防黑软件
删除网络天下Netsky病毒
开启后门端口TCP 2556
趋势科技3月15日晚针对“贝革热”新型变种病毒(WORM_BAGLE.P)再次发布中度风险病毒警报,目前这个病毒正在日本、韩国、美国和德国迅速传播。“贝革热”变种(WORM_BAGLE.P) 为邮件群发蠕虫病毒,这种驻留内存的病毒使用SMTP通过群发电子邮件传播自身拷贝。贝革热病毒是在今年1月首次爆发,其变种一直在衍变,从随机的邮件内容到冒充安全组织机构发出的有关病毒或垃圾邮件以及黑客攻击威胁警告等的特定内容,并假装提供一个有用的附件,其实这个附件是携带病毒的。请广大电脑使用者留意这个病毒及其系列变种。
这个病毒邮件信息可能显示为 “support”, “antispam”, 或者“antivirus” @ 被感染者邮件地址所在的域,并且邮件主题带有 “E-mail warning” (电子邮件警告)或者“Notify from e-mail technical support”(来自电子邮件技术支持的通知)等警告字样。而且邮件正文会使用一些特殊的,可以使之看上去像是来自安全管理员的警告信息的字句。
举例来说:
“Our antivirus software has detected a large amount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.”
“我们的防病毒软件发现您的邮箱正在向外发送大量的携带有病毒的邮件,您可以使用我们免费的防病毒工具对您的计算机系统进行清理”
Your e-mail account has been temporarily disabled because of unauthorized access.” “由于您的电子邮件帐号被非法访问,所以被暂时禁用”
然后紧随着一条类似这样的消息“Advanced details can be found in attached file”“更多信息请查看附件中的文件”,(“Find the white rabbit” 或者 “follow the wabbit” 也可能被使用-这一句子在电影“The Matrix”作为一个提示出现 )收件人将被提供一个口令,用以打开附件中的zip或rar文件(此技术用于躲避网关类扫描程序的检测),并且进一步使得收件人确信信件来自一个合法来源。
病毒其他信息
“BAGLE最大的危险在于,将使用户越来越无法肯定什么是真正的安全预警,而什么不是” Jamz Yaneza,趋势科技全球防毒研发暨技术支持中心--TrendLabs高级研究员如是说。
除了将自身伪装成为来自安全管理员的信息,PE_BAGLE.P同时具有BAGLE早先变种的特性:可终止与防病毒和防火墙相关的应用程序进程,避免向属于防病毒公司的域发送带有自身拷贝的邮件。PE_BAGLE.P可打开TCP的2556端口,等待来自远程恶意用户发出的命令。
PE_BAGLE.P会通过删除某些NETSKY变种生成的特定注册表项目的方式,以尝试阻止这些恶意程序的自动运行,从而继续这两类恶意程序之间的互相较量。
BAGLE.P附带了一个大小为44K或45K的附件,危害的系统包括:Windows 95, 98, ME, NT, 2000 和 XP。
趋势科技的用户请立即将病毒码更新819(含)以上。另外,趋势科技早已经在病毒爆发的第一时间,为具备集中管理能力的企业级客户,预先提供了可以控制此病毒传播的“病毒爆发预防策略(OPP)”,OPP94可自动部署,可以为用户在第一时间提供最及时有效的防护。对于趋势科技损害清除服务的用户,损害清除模版也更新至290,可以自动恢复受到感染的系统。
其他用户可以使用趋势科技免费在线扫毒,确认是否感染这一变种病毒:
http://www.trendmicro.com.cn/housecall/start_corp_2.asp
趋势科技会继续关注这个病毒,最新进展请访问趋势科技中文网站
www.trendmicro.com.cn
网友评论