瑞星一周播报（2005.10.24—2005.10.30）

　　本周应特别注意“卢文变种BF（Worm.IM.Lewor.bf）”病毒。它假冒成“免费超级女声演唱会门票”通过QQ大肆发送诱惑性消息，用户一旦点击消息里的链接网址后就有可能被病毒感染。

本周关注病毒：卢文变种BF（Worm.IM.Lewor.bf）

　　病毒类型：蠕虫病毒

　　警惕程度：★★★☆

　　依赖系统：WIN 9X/NT/2000/XP

　　传播途径：QQ

　　病毒采用Real视频电影格式文件的图标，诱骗用户点击运行。它会向中毒用户的QQ好友大量发送内容为“超级女声又来啦，只要答对问卷，就能得到超女演唱会门票，网址是http://plmms.go.xxxx.org”的消息。如果用户没有安装杀毒软件，系统存在漏洞，则点击这些连接后就可能被病毒感染。同时该病毒还会大量占用系统资源，造成机器运行速度缓慢甚至死机。

专家建议

　　专家提醒用户不要随便打开通过QQ、MSN等即时通信工具发来的网站地址，登陆前要向对方确认，如果对方没有回复则极有可能是病毒自动发送的。

出处：瑞星公司

收电子邮件小心背后黑客

　　新华社电 国家计算机病毒应急处理中心的专家指出，近期内对计算机用户造成危害的病毒还是近一段时间里出现的新蠕虫及其变种（如：Worm.Zotob及变种等）。计算机用户在完善好这些防范措施的同时也要注意该蠕虫新变种的出现，变种有可能会变化其传播途径和方式，目的是伪装自己蒙骗计算机用户，乘势而上形成进一步传播扩散的势头。

　　因此，专家建议用户使用杀毒软件中的“漏洞扫描”功能，下载安装系统补丁；在上网的时候打开病毒软件的即时监控，并及时升级杀毒软件；再有在网络论坛上、聊天室里、聊天软件中出现的一些网址或诱惑性的信息不要轻易点击下载，防止病毒入侵感染计算机系统。

　　另外，近期黑客、木马采用一些不同以往的传播方式，变化其原有的传播特征，伪装自己进行传播和破坏受感染计算机系统，进而达到盗取有价值信息从中获取一定利益的目的。

　　针对这种情况，专家建议用户近期内在收邮件、浏览网络论坛帖子、使用聊天工具的时候，对一些时下流行热点信息多注意一下，有可能黑客、木马就在这些信息的背后隐藏，盲目地浏览点击下载就会使计算机系统遭到黑客、木马的入侵和破坏。

上半年病毒增至11000个 黑客动机由名转利

　　CNET科技资讯网国际报道 据安全厂商赛门铁克公司在一份报告中称，在互联网上传播大量恶意代码的计算机黑客更看重的是经济利益，而不再是由此带来的“快乐”和“名誉”。

　　赛门铁克在其《互联网安全威胁报告》中说，由于黑客在编写恶意代码时使用了新工具和日益复杂的技术，今年上半年，攻击Windows用户的新病毒数量达到了近11000个，较去年下半年增长了48%。

　　周日发表的这份报告还发现，在前50种恶意代码中，能够泄露机密信息的恶意代码占了四分之三，去年下半年时的这一比例为54%。

　　报告说，越来越多的软件能够使垃圾邮件在计算机之间自动传播，特洛伊木马软件能够下载和安装广告件。赛门铁克表示，供出租和销售的所谓bot网络也越来越多了。

　　报告指出，随着经济回报的增长，黑客将开发越来越复杂和秘密的恶意代码，这些代码能够关闭反病毒、防火墙等安全机制。

　　赛门铁克的安全专家文森特说，早期的黑客发布病毒的目的在于在黑客世界扬名，现在，他们的动机已经转向利用更有针对性的恶意软件获取经济利益。

　　自MSBlast蠕虫在2003年爆发后，能够引起媒体广泛关注的病毒数量减少了。现在的趋势是，试图控制许多计算机发动攻击和利用钓鱼式攻击获得用户机密资料的黑客越来越多了。

　　文森特说，安全业界发生了很大变化，但是，电脑攻击、病毒的数量有了大幅度增长。

　　赛门铁克发现，今年上半年平均每天有10532个活跃bot网络，较去年下半年增长了140%；每天的钓鱼式攻击电子邮件数量由去年下半年的299万封增长到了570万封。

　　文森特说，我们的意思是，黑客越来越瞄上了用户的资产和机密信息。

扫把新变种病毒来捣乱 病毒邮件消耗带宽

　　新浪科技发布中度风险病毒警报，新的SOBER病毒“WORM_SOBER.AC”佯称改变了你的密码，引诱你打开带有蠕虫病毒的邮件，正侵袭全球网络，目前正在美国、德国和日本迅速传播中。

　　趋势科技全球防毒研发暨技术支持中心TrendLabs分析指出，这个新的SOBER蠕虫病毒利用电子邮件进行传播。该蠕虫使用内置的邮件发送引擎发送携带自身拷贝的邮件，蠕虫会从带有特定扩展名的文件中收集邮件地址，这些文件与受感染用户所访问的网页有关。蠕虫之所以收集这些类型的文件，是因为访问过的网页可能会含有与邮件地址有关的文本字符串。

　　邮件正文则用英文或德文写成，通知用户获得了新的密码：

　　Your password was successfully changed! Please see the attached file for detailed information.

　　同时携带一个pword_change.zip的压缩文件的附件。如果运行这个附件蠕虫会生成多个实现群发邮件功能的文件，这些功能会消耗受感染网络的带宽。病毒邮件的样本截图如下：

病毒邮件

　　当你打开了附件并运行时，病毒会显示如下的错误消息：

病毒显示的错误消息

　　病毒会在Windows\ConnectionStatus位置生成一个名为SERVICES.EXE的自身拷贝。（注意 Windows是Windows文件夹，通常就是 C:\Windows 或 C:\WINNT。）

　　在上述行为后，病毒会终止最初运行的文件，并将控制权交给生成的拷贝。

　　在今年五一黄金周的时候，“扫把”病毒即假冒国际足联的名义伪装成免费赠送世界杯门票的邮件，现在十一长假“扫把”病毒又利用用户密码来造访，仿佛就是利用大家在假期的懈怠心理进行偷袭。因此，趋势科技提醒广大计算机用户，遇到具有上述特征的邮件信息时不要轻易打开邮件并运行附件，最好将其直接删除。目前，趋势科技已经发布了病毒特征码879来检测该病毒，趋势科技的用户必须在扫描系统之前下载最新病毒码文件，其他的互联网用户可以使用趋势科技的免费在线病毒扫描Housecall。

蠕虫变种Worm_Sober.ac用电子邮件传播

　　国家计算机病毒应急处理中心提醒，日前出现一种蠕虫新变种WORM_SOBER.AC，估计该蠕虫还会有新的变种出现。

　　这个蠕虫利用电子邮件进行传播，还会发送用英语和德语写成的邮件。该蠕虫使用内置的 SMTP引擎发送携带自身拷贝的邮件。蠕虫会从带有特定扩展名的文件中收集邮件地址，并将带有病毒附件（扩展名为ZIP的文件）电子邮件发给地址列表中的用户，这些文件与受感染用户所访问的网页有关。

　　据了解，该蠕虫变种在美国、日本和德国都有传播，由于变种出现的时候正好是我国“十一”长假期间，因此该变种并没有在我国境内广泛传播。

　　但专家估计该蠕虫还会有新的变种出现，建议用户在收取电子邮件时要小心谨慎附件类型，以免收到病毒邮件而使计算机受到病毒入侵破坏。

　　病毒中心还预报说，17日至23日一周内将要定期发作的计算机病毒都没有大的影响。但专家仍提醒，如果计算机出现异常症状，不要贸然删除文件或进行格式化，应先用最新版本的杀毒软件对计算机进行全面扫描，如暂时无法恢复正常，也不要反复启动计算机，以免丢失更多的数据，给系统和数据的恢复带来困难。