|
多功能Bofra蠕虫病毒现身
作者:佚名 转贴自:enews 点击数:2603
| 【eNews消息】最新版的MyDoom蠕虫变种是集多种不同的安全攻击于一体的混合蠕虫病毒,在某种程度上可能是一种全新的病毒,其出现速度惊人。 最初被认为是MyDoom蠕虫变种的“瑞士军刀”蠕虫病毒目前正在利用5天前发现的缺陷兴风作浪。“瑞士军刀”蠕虫病毒整合了多种攻击技术,以一种全新的方式出现:即整合了发送垃圾邮件、社会工程学、病毒感染和特洛伊木马程序于一体,其出现之快也创了记录。 据反病毒软件厂商F-Secure公司称,“瑞士军刀”蠕虫病毒可以从被感染的PC上发送数百封电子邮件。收件人点击电子邮件中发来的一个链接后,用户会被引导至在已被感染的PC上运行的一个互联网网站。利用该网站上的IE缺陷,会使收件人的计算机成为另一台受感染的PC,就这样循环下去,受感染的计算机会呈几何级增长。所有版本的该蠕虫都在被感染的计算机上开一个后门儿。 Bofra蠕虫病毒的A、B、C版本最初被认为是MyDoom蠕虫病毒家族的最新成员,其攻击目标是微软公司的IE6.0浏览器中存在的缺陷。但通过进一步研究发现,尽管它使用了社会工程学的伎俩,通过垃圾邮件进行发送,但它与MyDoom蠕虫病毒的相似之处太少,不能被划归为同一种蠕虫病毒。 反病毒厂商Sophos公司的高级技术顾问格雷厄姆·克鲁利说:“Bofra蠕虫病毒利用了一个尚未得到修正的缺陷。它是在发现缺陷之后,出现最快的蠕虫病毒。它不是MyDoom蠕虫病毒的变种,尽管两者之间有些相似之处,但更多的是不同的地方。” Sophos公司声称已在互联网网关上发现了大量信息,这意味着Bofra蠕虫病毒最初是通过垃圾邮件传播的。 该信息利用虚假的PayPal消息欺骗用户点击一个链接。据F-Secure公司称,该垃圾邮件的正方内容为:“Congratulations! PayPal has successfully charged $175 to your credit card. Your order tracking number is 866DEC0A, and your item will be shipped within three business days. To see details please click this link”(祝贺您!PayPal已从您的信用卡上成功地划走175美元,您的订单号为866DEC0A,您所订购的商品将于3个工作日内送到。有关详情,请点击该链接。) 克鲁利补充说:“尽管上述内容中提到了PayPal,我们并没有发现任何钓鱼式欺诈攻击。但用户一旦点击了该链接,就可能遭遇信用卡被伪造的攻击。” 自上周五安全厂商Secunia公司发现这一缺陷后,微软公司还没有针对IE缺陷发布相关的补丁软件。这一新病毒正以惊人的速度出现。克鲁利说:“到本周一,我们已经发现了完整的蠕虫病毒。微软公司打算很快推出其一月一度的安全布丁,但微软没有提及这一IE缺陷的补丁软件。现在微软不修正该缺陷,可以说是坐失良机啊!” F-Secure公司也同意Bofra蠕虫病毒可能不是MyDoom蠕虫病毒的说法,因为它与MyDoom蠕虫病毒的相似特征只有一半。F-Secure公司的技术经理帕特里克说:“它们与现有的MyDoom蠕虫病毒不同。我们收到的被感染报告也不多。但由于发现该缺陷仅几天后,就出现了利用该缺陷的蠕虫病毒,故这一病毒很令人感兴趣。” F-Secure公司补充道,该蠕虫病毒利用了在Windows 2000和Windows XP SP1上运行的IE6.0中的一个缺陷。Windows XP SP2用户据说不受该病毒影响。帕特里克说:“该蠕虫病毒使用的技术与‘冲击波’或‘震荡波’相同。大多数的蠕虫病毒都使用了互联网的某些下载功能,对付这类蠕虫病毒很容易,但要解决Bofra蠕虫病毒就困难得多。保护自己最行之有效的措施就是不点击任何链接,删除不必要的邮件,运行反病毒软件,升级至Windows XP SP2。由于只有IE浏览器受Bofra蠕虫病毒的影响,用户可以选择使用Mozilla、Netscape或Opera浏览器。” |