【轉貼】病毒偽裝成微軟安全升級程式



贊助商連結


小果糖
2002-06-04, 02:51 PM
賽迪網訊】3月6日,數家電腦安全公司警告稱,又一種病毒本周起開始在網上傳播,該病毒偽裝成微軟的安全升級程式。
  
  該病毒是一種群發郵件蠕蟲病毒,有各式各樣的名稱如I-worm. Gibe、W32/Gibe@mm 和 WORM_GIBE.A等等。它不攜帶致命性的載荷,但能安裝特洛伊後門,使攻擊者能夠遠端登錄受感染的系統。
  
  Gibe病毒一般化名Q216309.exe,作為信件的附件發給受害者,信件的開始語如下:
  
  Wrom: OYIYZUNNYCGPKYLEJGDGVCJVTLBXFGGMEPYOQ
  
  mailto:rdquest12@microsoft.com]
  
  To: Microsoft Customer
  
  Subject: Internet Security Update
  
  Attachment: q216309.exe
  
  Microsoft Customer,
  
  this is the latest version of security update, the update which eliminates all known security vulnerabilities affecting Internet Explorer and MS Outlook/Express as well as six new vulnerabilities, and is discussed in Microsoft Security Bulletin MS02-005. Install now to protect your computer from these vulnerabilities, the most serious of which could allow an attacker to run code on your computer.
  
  (親愛的微軟使用者:
  
  這是安全升級程式的最新版本,可消除Internet Explorer、MS Outlook/Express的所有已知安全缺陷,另外還可消除其它六個新的缺陷。本升級程式在微軟安全公告牌MS02-005上討論過。請立即安裝本程式,使您免受這些缺陷的危害。否則,其中最壞的結果是攻擊者在您的電腦執行任意編碼。)
  
  隨後信件繼續描述該蠕蟲病毒宣稱能夠防治的「缺陷」。
  
  該病毒用Visual Basic編寫而成,並且使用Microsoft Outlook和自身的SMTP引擎進行傳播。使用者一旦執行Q216309.exe,它將自我複製兩份副本,讓使用Outlook和SMTP的部件繼續傳播;然後建立開通連接12378的特洛伊後門;建立一個資料檔案來儲存它能找到的所有電子郵件位址;建立另一個部件,搜尋Outlook位址簿裡的電郵位址以及所有.htm、.html、.asp 和.php檔案裡的位址。最後的部件一得到那些電郵位址就將它們寫入資料檔案。
  
  芬蘭的電腦安全公司稱,受害使用者可從被感染的系統上刪除所有的蠕蟲部件,從而清除該病毒。該公司指出,Windows處於啟動狀態時,某些病毒部件是被鎖住的,使用者必須進入純DOS系統刪除它們,或者給病毒部件換個副檔名,然後立即重新啟動系統。
  
  多家防毒軟體公司已經升級了它們的病毒定義,以檢查Gibe蠕蟲病毒。
=============================================================================
最近微軟出蠻多修正檔的,在使用修正檔的時候,還是要多加小心,若要下載修正檔時,
還是到微軟網站下載,別到其他非微軟網站下載,以免被有心人"下毒":eye:

贊助商連結


lioushen
2002-06-04, 03:44 PM
很簡單啊 !!
微軟不會這麼好心 , 以亂發 e-mail 的方式來傳送他的修正檔 !!