【轉貼】病毒偽裝成微軟安全升級程式

[小果糖]

賽迪網訊】3月6日，數家電腦安全公司警告稱，又一種病毒本周起開始在網上傳播，該病毒偽裝成微軟的安全升級程式。
　　
　　該病毒是一種群發郵件蠕蟲病毒，有各式各樣的名稱如I-worm. Gibe、W32/Gibe@mm 和 WORM_GIBE.A等等。它不攜帶致命性的載荷，但能安裝特洛伊後門，使攻擊者能夠遠端登錄受感染的系統。
　　
　　Gibe病毒一般化名Q216309.exe，作為信件的附件發給受害者，信件的開始語如下：
　　
　　Wrom: OYIYZUNNYCGPKYLEJGDGVCJVTLBXFGGMEPYOQ
　　
　　mailto:[email protected]]
　　
　　To: Microsoft Customer
　　
　　Subject: Internet Security Update
　　
　　Attachment: q216309.exe
　　
　　Microsoft Customer,
　　
　　this is the latest version of security update, the update which eliminates all known security vulnerabilities affecting Internet Explorer and MS Outlook/Express as well as six new vulnerabilities, and is discussed in Microsoft Security Bulletin MS02-005. Install now to protect your computer from these vulnerabilities, the most serious of which could allow an attacker to run code on your computer.
　　
　　（親愛的微軟使用者：
　　
　　這是安全升級程式的最新版本，可消除Internet Explorer、MS Outlook/Express的所有已知安全缺陷，另外還可消除其它六個新的缺陷。本升級程式在微軟安全公告牌MS02-005上討論過。請立即安裝本程式，使您免受這些缺陷的危害。否則，其中最壞的結果是攻擊者在您的電腦執行任意編碼。）
　　
　　隨後信件繼續描述該蠕蟲病毒宣稱能夠防治的「缺陷」。
　　
　　該病毒用Visual Basic編寫而成，並且使用Microsoft Outlook和自身的SMTP引擎進行傳播。使用者一旦執行Q216309.exe，它將自我複製兩份副本，讓使用Outlook和SMTP的部件繼續傳播；然後建立開通連接12378的特洛伊後門；建立一個資料檔案來儲存它能找到的所有電子郵件位址；建立另一個部件，搜尋Outlook位址簿裡的電郵位址以及所有.htm、.html、.asp 和.php檔案裡的位址。最後的部件一得到那些電郵位址就將它們寫入資料檔案。
　　
　　芬蘭的電腦安全公司稱，受害使用者可從被感染的系統上刪除所有的蠕蟲部件，從而清除該病毒。該公司指出，Windows處於啟動狀態時，某些病毒部件是被鎖住的，使用者必須進入純DOS系統刪除它們，或者給病毒部件換個副檔名，然後立即重新啟動系統。
　　
　　多家防毒軟體公司已經升級了它們的病毒定義，以檢查Gibe蠕蟲病毒。
=============================================================================
最近微軟出蠻多修正檔的,在使用修正檔的時候,還是要多加小心,若要下載修正檔時,
還是到微軟網站下載,別到其他非微軟網站下載,以免被有心人"下毒"

[lioushen]

很簡單啊 !!
微軟不會這麼好心 , 以亂發 e-mail 的方式來傳送他的修正檔 !!