扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:子鉃 来源:赛迪网 2010年10月13日
关键字: 安全
【赛迪网-IT技术讯】近期多起有关某个挟带恶意连结的垃圾邮件通报中显示,该连结会下载WORM_MEYLME.B 蠕虫。该蠕虫有能力删除一些系统上的安全服务,利用好几个系统注册表机码来停用系统的安全警示与桌面安全提示。此外,还会下载一个后门程序BKDR_BIFROSE.SMU。由于此恶意软件会偷偷将某些系统文件夹分享成共享文件夹,因此会让系统门户洞开。
这项攻击还运用了各种不同的垃圾邮件,其中一种是利用免费的电影来吸引使用者,另一种则是假冒成一封求职信。上述两种讯息都含有一个链接,一旦点选就会下载此蠕虫程序。
此蠕虫程序还会尝试存取使用者的Yahoo! 实时通 档案。WORM_MEYLME.B 蠕虫有可能会搜集 Yahoo! 实时通 的账号来散播自己。
另外一种邮件的主旨为:“Here you have”(这是你要的),信件内容则是告诉使用者该信随附了之前所提到的一份PDF文件。用户若将鼠标光标移到信件中所附的URL上方(hxxp://www.{BLOCKED}ocuments.com/library/PDF_Document21.025542010.pdf或hxxp://www.{BLOCKED}ovies.com/library/SEX21.025542010.wmv),就可以发现其实该网址是指向:hxxp://{BLOCKED}s.multimania.co.uk/yahoophoto/PDF_Document21_025542010_pdf.scr,因此点选之后就会下载恶意软件主体。
当WORM_MEYLME.B执行时,它会关闭防病毒软件,并且使用MAPI邮件应用程序协议接口来散发挟带其程序复本链接的电子邮件。此外,它还会透过可卸除式磁盘驱动器来散播 (例如USB随身碟)。而且,该恶意软件还会将感染计算机上的C:\\Windows\\System目录下的一些文件夹分享为Updates共享文件夹。当此恶意软件执行时,会联机至多个恶意网站。
经过深入研究之后,我们发现此攻击所用的恶意软件只是一个我们已知的恶意软件 (WORM_AUTORUN.NAD) 的解压缩版本。很可能这次攻击幕后的网络犯罪者拿到了 WORM_AUTORUN.NAD 程序的原始码,然后根据自己的用途而加以修改。
建议用户在开启任何来历不明的电子邮件或点选任何连结之前都要特别小心谨慎。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者