蠕虫病毒藏身免费电邮求职信 下载需谨慎
2010年10月14日 09:33
近期多起有关某个挟带恶意连结的垃圾邮件通报中显示,该连结会下载WORM_MEYLME.B 蠕虫。该蠕虫有能力删除一些系统上的安全服务,利用好几个系统注册表机码来停用系统的安全警示与桌面安全提示。此外,还会下载一个后门程序BKDR_BIFROSE.SMU。由于此恶意软件会偷偷将某些系统文件夹分享成共享文件夹,因此会让系统门户洞开。
这项攻击还运用了各种不同的垃圾邮件,其中一种是利用免费的电影来吸引使用者,另一种则是假冒成一封求职信。上述两种讯息都含有一个链接,一旦点选就会下载此蠕虫程序。
此蠕虫程序还会尝试存取使用者的Yahoo! 实时通 档案。WORM_MEYLME.B 蠕虫有可能会搜集 Yahoo! 实时通 的账号来散播自己。
另外一种邮件的主旨为:“Here you have”(这是你要的),信件内容则是告诉使用者该信随附了之前所提到的一份PDF文件。用户若将鼠标光标移到信件中所附的URL上方(hxxp://www.{BLOCKED}ocuments.com/library/PDF_Document21.025542010.pdf或hxxp://www.{BLOCKED}ovies.com/library/SEX21.025542010.wmv),就可以发现其实该网址是指向:hxxp://{BLOCKED}s.multimania.co.uk/yahoophoto/PDF_Document21_025542010_pdf.scr,因此点选之后就会下载恶意软件主体。
当WORM_MEYLME.B执行时,它会关闭防病毒软件,并且使用MAPI邮件应用程序协议接口来散发挟带其程序复本链接的电子邮件。此外,它还会透过可卸除式磁盘驱动器来散播 (例如USB随身碟)。而且,该恶意软件还会将感染计算机上的C:WindowsSystem目录下的一些文件夹分享为Updates共享文件夹。当此恶意软件执行时,会联机至多个恶意网站。
经过深入研究之后,我们发现此攻击所用的恶意软件只是一个我们已知的恶意软件 (WORM_AUTORUN.NAD) 的解压缩版本。很可能这次攻击幕后的网络犯罪者拿到了 WORM_AUTORUN.NAD 程序的原始码,然后根据自己的用途而加以修改。
建议用户在开启任何来历不明的电子邮件或点选任何连结之前都要特别小心谨慎。
(编辑:Jesse)
