趨勢科技接獲多起有關某個挾帶惡意連結的垃圾郵件通報,該連結會下載WORM_MEYLME.B 蠕蟲。該蠕蟲有能力刪除一些系統上的安全服務,利用好幾個系統登錄機碼來停用系統的安全警示與桌面安全提示。此外,還會下載一個後門程式 BKDR_BIFROSE.SMU。由於此惡意程式會偷偷將某些系統資料夾分享成共用資料夾,因此會讓系統門戶洞開。
這項攻擊還運用了各種不同的垃圾郵件,其中一種是利用免費的電影來吸引使用者,另一種則是假冒成一封求職信。上述兩種訊息都含有一個連結,一旦點選就會下載此蠕蟲程式。
此蠕蟲程式還會嘗試存取使用者的Yahoo! 即時通 檔案。WORM_MEYLME.B 蠕蟲有可能會蒐集 Yahoo! 即時通 的帳號來散播自己。
另外一種郵件的主旨為:「Here you have」(這是你要的),信件內容則是告訴使用者該信隨附了之前所提到的一份 PDF 文件。使用者若將滑鼠游標移到信件中所附的 URL 上方 (http://www.{BLOCKED}ocuments.com/library/PDF_Document21.025542010.pdf 或 http://www.{BLOCKED}ovies.com/library/SEX21.025542010.wmv),就可以發現其實該網址是指向:http://{BLOCKED}s.multimania.co.uk/yahoophoto/PDF_Document21_025542010_pdf.scr,因此點選之後就會下載惡意程式主體。
當
WORM_MEYLME.B 執行時,它會關閉防毒軟體,並且使用 MAPI
郵件應用程式通訊協定介面來散發挾帶其程式複本連結的電子郵件。此外,它還會透過可卸除式磁碟機來散播 (例如 USB
隨身碟)。而且,該惡意程式還會將感染電腦上的 C:\Windows\System 目錄下的一些資料夾分享為 Updates
共用資料夾。當此惡意程式執行時,會連線至多個惡意網站。
經過深入研究之後,我們發現此攻擊所用的惡意程式只是一個我們已知的惡意程式 (WORM_AUTORUN.NAD) 的解壓縮版本。很可能這次攻擊幕後的網路犯罪者拿到了 WORM_AUTORUN.NAD 程式的原始碼,然後根據自己的用途而加以修改。
趨 勢科技建議使用者在開啟任何來歷不明的電子郵件或點選任何連結之前都要特別小心謹慎。面對這項威脅,趨勢科技的使用者並無安全上的顧慮,因為趨勢科技 主動式雲端截毒服務 SPN( Smart Protection Network) 已能夠偵測該惡意檔案並且攔截所有相關的 URL。
資料來源:
1.趨勢科技
留言列表
