瑞星一周播报（2005.06.20—2005.06.26）

警惕“麦托”病毒变种作恶

　　近期出现了几个新的“麦托”（Worm.Mytob）病毒变种，它们都会通过自带的SMTP引擎发送带毒邮件，传播较为迅速。

　　本周关注病毒：麦托变种EB（Worm.Mytob.eb）

　　它是一个能在WIN9X/NT/2000/XP系统上运行的蠕虫病毒。病毒启动后会搜索本地计算机的地址簿，从中查找电子邮件地址，并向这些地址发送内容为“Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.”等的病毒邮件，其他用户打开这些邮件的附件就会被病毒感染。病毒大量发送垃圾邮件会造成网络带宽被严重浪费，网速减慢。同时，染毒的计算机会被黑客远程控制，如：删除文件、对其它网站发起攻击等。

专家建议

　　用户不要随便打开陌生人发来的邮件，特别是邮件的附件。平时应开启杀毒软件的邮件监控功能防范此类病毒。

出处：瑞星公司

蠕虫出现新变种Worm_Bobax.P 阻止用户访问反病毒网站

　　国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现了蠕虫Bobax的一个新变种——Worm_Bobax.P。

　　据介绍，这是一个常驻内存型的蠕虫，它利用电子邮件进行传播。该蠕虫还可以利用 Windows的LSASS漏洞进行传播，同时会修改系统的HOSTS文件，阻止用户访问某些反病毒网站。

　　蠕虫具体特征如下：病毒名称：Worm_Bobax.P　　感染系统：Win9x/WinNT/Win2000/WinXP/WinME　病毒特征：1、生成文件蠕虫运行后，会在%Windows%目录下生成一个随机命名的自身拷贝文件，同时在目录%Windows%中的临时文件夹中生成一个名为~DF7.TMP的动态链接库（DLL）组件。（其中%Windows%为操作系统的安装目录，通常为C:\\Windows或C:\\WINNT）

　　2、修改注册表项蠕虫会创建注册表项，使得自身能够在系统启动时自动运行，会在 HKEY_LOCAL_MA－CHINE\Software\Microsoft\Windows\Cur－rentVersion\Run中添加{蠕虫随机的文件名}＝“{该文件名}”，如disrr＝“disrr”。

　　3、通过电子邮件进行传播蠕虫在被感染用户的系统内搜索多种扩展名的文件，找到电子邮件地址，并使用自带的SMTP向这些地址发送带毒的电子邮件。

　　4、利用Windows漏洞进行网络传播该蠕虫会利用Windows的LSASS漏洞进行传播。该漏洞属于缓冲区溢出漏洞，可以允许执行远程代码并使攻击者获取受感染系统的控制权。同时，该蠕虫通过利用受感染系统的漏洞发送数据包，并在一个特殊的位置创建自身的拷贝。

　　5、其他功能该蠕虫会编辑系统的HOSTS文件，该文件里包含有所有IP地址的主机名。目的是阻止被感染系统的用户访问一些反病毒网站，以保护蠕虫自身，形成更大范围的扩散。

　　手工清除：

　　（1）、重启后进入安全模式；

　　（2）、打开任务管理器，找到病毒文件对应的进程（如 disrr.exe），结束该进程；

　　（3）、打开注册表编辑器，找到注册表项 HKEY_LOCAL_MACHINE\Software\Mi－crosoft\Windows\CurrentVersion\Run，删除该项中的键值，如disrr＝“disrr”；

　　（4）、清除HOSTS文件中的病毒键。使用文本编辑器（如记事本）打开如下文件：% System% \drivers\etc\HOSTS, 删除HOSTS文件中有关反病毒的网址字符串，保存文件并关闭注册表编辑器。（其中，%System%通常为 C:\\Windows\\System 或 C:\\WINNT\\System32）

　　（5）、没有打LSASS漏洞补丁程序的计算机，立即给系统安装漏洞补丁。

出处：每日商报

麦可杰克森要自杀？！ 小心别中了计算机病毒的诡计！

　　麦可杰克森要自杀？！小心别中了病毒的诡计！计算机安全厂商Sophos提出警告，声称麦可杰克森试图自杀的垃圾邮件，正试图引诱无辜的计算机客户阅读，在点选链接後感染特洛依木马病毒。

　　Sophos发现已有数千封垃圾邮件消息送出，以赶上媒体密切关注此争议性流行音乐天王的审判新闻热潮。该垃圾邮件的特征是：

　　Subject: Re: Suicidal aattempt

　　Message text:

　　Last night, while in his Neverland Ranch, Michael Jackson has made a suicidal attempt.

　　They suggest this attempt follows the last claim was made against the king of pop. 46 years old Michael has left pre-suicid note which describes and interpretes some of his sins.
Read more...

　　然而，当用户点选此链接後，即被带至某个网站，接着该网站会秘密地在其计算机中安装恶意的程序代码。

　　「当您点选该链接，链接的网站就会显示正在忙碌中的消息，但人们对於此消息可能不会感到意外，以为该网站可能包含真正关於麦可杰克森的最新消息，」 Sophos 亚洲区总裁 Charles Cousins 表示。「然而，这即是转移注意力的手法，因为该网站正在用户不知情的状况下，秘密地将恶意软件下载到计算机中。」

　　Sophos的专家点选该链接以分析下载的程序代码，发现该程序代码本身会试图下载另一个特洛依木马病毒，Sophos发现是Troj/Borobt-Gen。Sophos PureMessage已经过更新，能在电子邮件信关处自动检测出垃圾邮件消息。

　　Sophos发现，此位麻烦缠身的流行音乐天王并不是第一次被病毒撰写者及骇客利用，试图散布恶意软件。去年十月，网络上公布的消息即声称发现属於麦可杰克森的家庭录像带罪证，但在点选链接之後，却使上网者受到Hackarmy特洛依木马病毒的感染。

　　「病毒和其他恶意软件背後的异常的作者，常常利用名人及新闻故事，试图感染最多的人数，」Charles补充道。「所有计算机客户在点选主动提供的电子邮件中的网站链接，或打开不知名的附件时，都必须非常谨慎。

针对小型金融机构的钓鱼攻击增多 中国仅次于美国

　　【eNet硅谷动力消息】据Anti-Phishing Working Group组织统计，钓鱼式攻击者扩大了攻击范围，把目标锁定为小型的金融机构。

　　据该组织称，目前，经大部分的钓鱼式攻击仍针对大型的银行和企业，而小型的金融机构也成为了攻击的新目标。“黑客调整了攻击策略，目标从流行网站或大型金融机构开始向小型机构转移。”

　　钓鱼式攻击是网上流行的一种诈骗行为，它旨在获得用户姓名、口令和信用卡号等敏感信息。这种攻击同时包含有垃圾邮件和非法网站的内容。该组织的主管Dan Hubbard称，这份报告涉及了4月的有关资料，但是，5月份，针对金融机构的诈骗现象开始增长。

　　他指出，在过去几个月内，针对金融机构的钓鱼式攻击邮件呈增长态势，数量从今年2月的3%增长到5月的21%。攻击者之所以转向小型金融机构，是因为大型金融机构的措施得力，防卫严密。同时，攻击者也进一步扩大的攻击范围。

　　今年4月，该组织称，钓鱼式攻击活动增长到了14411起，呈现出增长的势头。而以独特方式进行的钓鱼式攻击活动由3月份的4100起下降到了3930起。另外，钓鱼式攻击活动实施的网站主机在中国的现象日益增多，这占4月份钓鱼式攻击的22%，达到了2854起，中国紧次于美国居第二位，而美国主机攻击活动以26.3%，居第一位。

　　随着中国PC接入调整互联网的日益普及，钓鱼式攻击活动日益增多。此外，受到攻击的公司也很难采取措施关闭在中国的网站主机，“一旦这种活动跨越国界，就很难采取打击措施。 ”

出处：eNet硅谷动力

近期要警惕通过电邮和通信工具软件传播的计算机病毒

　　新华网电（梁宏、张建新）国家计算机病毒应急处理中心说，近期困扰用户比较多的病毒是木马、黑客和后门程序，利用各类即时通信工具软件（如MSN、P2P等）为传播途径的病毒数量也日渐增多，提醒用户注意。

　　据了解，木马、黑客和后门程序主要用于窃取QQ、网络游戏等账号信息。黑客可以对中毒机器进行远程操作，并利用屏幕监控和视频、键盘监控等手段获取用户进行网上银行交易的情况，还有，这些黑客、木马程序可以采用邮件蠕虫传播技术通过电子邮件进行传播，因此用户在收取邮件的时候要提高警惕，防止黑客、木马程序进入到系统里而受到破坏。

　　另外，目前很多个人和企业将即时通信软件（如MSN）作为相互传递信息的重要手段，而把P2P软件作为文件交换的一个重要途径。但是，这些工具也被病毒编制者利用，作为目前病毒的重要传播手段。所以，用户在使用这些工具软件的时候要多加小心，杜绝此类事件的发生。

出处：新华网