日前,北京冠群金辰公司在其全球病毒监测网上又捕捉到一种新的恶性病毒--“笑话”病毒(VBS/Funny.A.Worm)。这是一个通过Outlook电子邮件传播的蠕虫病毒,它同时还携带一个特洛伊程序。该蠕虫病毒还有同VBS/LoveLetter.BD一样的恶意目的,从一个特殊的银行客户那里盗取秘密的信息。
蠕虫以主题为“Funny story”的邮件进入你的系统,邮件内容是空的。邮件附件文件名是“FUNNY_STORY.HTM.vbs”,该文件是病毒代码程序。请注意:如果系统没有相应的设置,.VBS的扩展名可能显示不出来。
一旦附件文件被激活,蠕虫会检测是否存在注册信息“HKCU\SOFTWARE\UBS\UBSPIN\OPTIONS\DATAPATH”,如果这个注册值不存在,带蠕虫病毒附件的mail将发送给所有在Outlook通讯录地址中的人;如果找到注册值,一个特洛伊文件Win32/PSW.Hooker.2.4.Trojan将驻留在系统中。Win32.PSW.Hooker是一个“窃取口令”的特洛伊程序。它会窃取它所运行的机器的口令,并将它们(口令)发e-mail给设置特洛伊的人(黑客)。病毒包含了一个“键盘日志”, 它像一个口令对话,能记录下来自任何事件的键盘操作(按键内容)。例如:特洛伊能记录Windows连接Internet 时输入的键盘口令。
特洛伊能在很广阔的区域被定制,事实上,从它发送口令的e-mail地址就可以对它的行为的每一个方面进行改换,且大量的信息放在邮件中,一旦敲入密码口令,特洛伊就能确定Windows标题的关键字。特洛伊能设置将自身安装在注册表中,包括注册关键字的位置和文件名,它能完全控制。
PSW.Hooker 还能从任何Web站点下载和运行一个独立的文件,利用这个特点,一个恶意的用户就能让PSW.Hooker 指向另一个特洛伊或病毒,让它们自动下载或在受侵害的机器上运行。
然后,该蠕虫病毒将显示“http: //www.makeyoulaugh.com/”主页的内容。
VBS/Funny.A.Worm现身后不久,就迅速出现了两个变种:VBS/Funny.B.Worm和VBS/Funny.C.Worm。
与VBS/Funny.A.Worm 相比,VBS/Funny.B.Worm的变化很小。蠕虫邮件的主题变为“When did you die?”,邮件附件的文件名被改成“LIFE_ASSURANCE.HTM.vbs”,显示的主页改为“http: //www.standardlife.co.uk/”。
VBS/Funny.C.Worm蠕虫邮件的主题变为“ Rechnungsabschrift”,邮件附件的文件名被改成“RECHNUNGSABSCHRIFT.DOC.vbs”,显示的主页被改为若干个站点。这个.C变种会生成一个RECHNUNGSABSCHRIFT.DOC文本文件,并显示它,该文件的内容显示的是一张发票。
该病毒集邮件病毒、蠕虫病毒和黑客程序于一体,破坏性十分严重,建议用户选择使用经过国际多家权威机构认证具备完善实时反病毒、查杀多种压缩文件功能的反病毒软件。
KILL系列防病毒产品的用户应及时到www.kill.com.cn下载最新病毒特征库以保护自己的计算机;或到KILL授权服务中心拷贝最新升级文件。KILL16.11版本可以检测VBS/Funny.A.Worm、VBS/Funny.B.Worm、VBS/Funny.C.Worm和 Win32/PSW.Hooker.2.4.Trojan病毒,被KILL检测出的带毒文件必须从系统中移走或删除。
|
到BBS交流
写信谈感想