最新蠕虫病毒蒙面客现形 可致用户隐私泄漏

国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现了一个新的蠕虫“蒙面客”(Worm_Wurmark.J)。

  这是一个常驻内存型蠕虫,它利用电子邮件进行传播。用户感染了该病毒后的典型症状就是不断地向外发送病毒邮件,更糟糕的是这个病毒具有击键记录功能,导致泄漏用户的隐私。

  该蠕虫除了间谍功能以外,还在附件的文件名上下了一番功夫,附件使用的文件名如:女孩们、爱情、音乐、照片、屏保等等,后面紧跟着一个假的doc,jpg,txt等扩展名,而在精心设计的多个空格后才是真的scr可执行文件扩展名。

  例如:“message.txt.scr”,如果用户不仔细看,会误认为是“message.txt”,一个纯文本文件,从放松了警惕,掉入病毒的圈套。

  病毒名称:Worm_Wurmark.J

  感染系统:Win9x/WinNT/Win2000/WinXP/Win ME

  病毒特征:

  1、生成文件

  蠕虫运行后,会在%Windows%目录下生成一个随机命名的自身拷贝文件,同时在目录%Windows%中生成一个随机命名的动态链接库(DLL)文件。(其中,%Windows%为操作系统的安装目录,通常为 C:\Windows 或 C:\WINNT)。

  2、修改注册表项

  病毒创建注册表项,使得自身能够在系统启动时自动运行,会在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加{蠕虫随机的文件名}=“{该文件名}”

  3、通过电子邮件进行传播

  蠕虫在被感染用户的系统内搜索多种扩展名的文件,找到电子邮件地址,并使用自带的SMTP向这些地址发送带毒的电子邮件。

  电子邮件格式如下:主题: (其中之一)details girls image love message music news photo pic readme resume screensaver song video

  另外,该蠕虫会在Windows系统文件夹中生成多个zip文件,用作病毒邮件的附件。这些附件如下:附件: (其中之一)details.zip girls.zip image.zip love.zip message.zip music.zip news.zip photo.zip pic.zip readme.zip resume.zip screensaver.zip song.zip video.zip

  4、其他功能

  该蠕虫具有击键记录功能,会将用户的击键内容保存到一个随机命名的DLL文件当中。

  此外,Worm_Mytob又出现了两个新变种分别是Worm_Mytob.EG和Worm_MytobED,这两新变种继承了它们以前的版本,都是驻留内存的病毒,并且通过网络共享和邮件进行传播,同时具有后门功能,连接IRC服务器,一旦连接成功,它就会监听来自远程恶意用户的命令,进行一些下载文件、执行文件、获取病毒版本、清除病毒、结束病毒和升级病毒等操作。

  病毒中心建议用户熟悉该蠕虫及变种的基本特征,谨慎收取电子邮件,仔细审阅邮件的附件,防止受到感染。