补丁骗子自我更新压缩变种泛滥

http://www.sina.com.cn 2006年09月27日 21:04 ChinaByte

　　趋势科技9月26日发布的补丁骗子(WORM_STRATION.WO)病毒警报，自上周末起，开始席卷亚太区多家企业，包含日本、澳洲、中国大陆、台湾、香港、新加坡、韩国皆传出多起感染案例，目前正有延烧全球的趋势。趋势科技表示WORM_STRATION.WO以罕见的MEW11等压缩格式，造成某些传统防毒软件光是扫到这个病毒需要花10秒以上解压缩，导致系统无法动弹。受让企业最头痛的是，WORM_STRATION.WO病毒具有自我更新能力，一旦受害者连上网络，即会从多个网站下载恶意程序，使得变种以极快的速度不断产生，而传统以病毒码更新来捕捉已知病毒的方式，却难以发挥立即杜绝扩散效果，使得系统在短时间内成为毒窟，企业网络陷入难以动弹的地步。

　　具有启发式扫描( Heuristic Scan)技术的 Gateway 防毒软件可有效封锁过去防毒软件所无法侦测到的压缩算法变种病毒，如趋势科技新开发的InteliTrap智能型扫描技术，目前已运用在 InterScan Messaging Security Suite (IMSS) 、 InterScan VirusWall (ISVW) 、 ScanMail for Exchange (SMEX) 、 ScanMail for Lotus Notes (SMLN) 、 ScanMail for Domino (SMD) 等等。可启用Intellitrap智能型扫毒机制或封锁可执行文件，在第一时间阻挡新型变种透过HTTP或Email方式入侵。其它产品用户请更新病毒码3.791.00(含)以上以便侦测此病毒。

　　趋势科技表示，WORM_STRATION.WO为了延长生命周期，采用多种压缩格式，目前绝大部分的变种都以MEW11 压缩，少部分采用UPACK 格式。.WORM_STRATION.WO 主要通过Email大量繁殖，但它并没有采用Microsoft Outlook 等一般人使用的应用程序发送信件，而是采用自己的 SMTP 引擎，这使得其行为更加隐秘，繁衍更迅速。当感染该病毒时，会在Windows文件夹下面产生 t2serv.dll、t2serv.exe ，此为 WORM_STRATION.WO 病毒的复本。

　　趋势科技表示因为现在蠕虫可能在极短的时间内完成开发，全球的个人计算机使用者将面临更大的威胁。建议企业必须部署防御这些威胁专用的软件与硬件系统。

　　WORM_STRATION.WO 利用电子邮件散播，会自动发信给windows通讯录中的所有收件人，可能的主题与附件如下:

　　主题:

　　* Error

　　* Good day

　　* Mail Delivery System

　　* Mail server report

　　* Mail Transaction Failed

　　* picture

　　* Server Report

　　* Status

　　附件:

　　*body.zip

　　*data.msg.scr

　　*docs.elm.exe

　　*document.msg.exe

　　*document.txt.pif

　　*text.elm.exe

　　*Update-KB1375-x86.exe

　　*Update-KB1625-x86.exe

　　*Update-KB250-x86.exe

　　*Update-KB281-x86.exe

　　*Update-KB4937-x86.zip

　　*Update-KB531-x86.exe

　　*Update-KB5687-x86.exe

　　*Update-KB8093-x86.exe

　　*Update-KB8656-x86.exe

　　*Update-KB9046-x86.exe

　　*Update-KB9062-x86.exe

　　*Update-KB9125-x86.exe

　　*Update-KB9859-x86.exe

　　当感染此病毒后，此病毒会尝试连接下列网址，建议企业用户可用防火墙阻挡内部与这些网址的所有联机。

　　http:// www3.vertionkdaseliplim.com

　　http:// www2.vertionkdaseliplim.com

　　http:// www4.vertionkdaseliplim.com

　　http:// www6.vertionkdaseliplim.com

　　如果你已使用趋势科技InterScan Messaging Security Suite (IMSS) 、 InterScan VirusWall (ISVW) 、 ScanMail for Exchange (SMEX) 、 ScanMail for Lotus Notes (SMLN) 、 ScanMail for Domino (SMD)网关器防毒可启用Intellitrap智能型扫毒机制或封锁可执行文件，可在第一时间阻挡新型变种透过HTTP或Email方式入侵。

　　阅读关于病毒趋势科技的全部文章