[转译] 20100910 – 2,新近出现的恶意软件:Visal.B


《本文转译自 Microsoft Malware Protection Center 博客文章“Emerging Malware Issue: Vosal.B“》

Worm:Win32/Visal.B 是一种使用 Visual Basic 语言编写的新型蠕虫,目前一部分已借助社会工程学进行传播。我们强烈建议用户谨慎点击邮件中的可疑链接,或者不期而至的链接,即使您认识邮件的发件人。受 Visal.B 感染很可能是因为您不小心。

该蠕虫的时间戳标记为9/3/2010,使用两种方式进行传播:其一,群发邮件;其二,将自身拷贝至本地驱动器(C: 和 H:)和网络共享。该蠕虫能够自我复制到本地系统的多个驱动器,并自带 autorun.inf 文件。而后向在受感染系统中找到的联系人发送电子邮件,传播自身。

Visal.B利用邮件应用程序接口 (MAPI) 向受感染系统中找到的所有联系人群发邮件。在企业环境下,地址薄中可能包含大量的联系人信息。随着企业网络中被感染的计算机数量增多,局域网内由该蠕虫引发的邮件也相应增多,导致邮件服务器性能下降。另外,该蠕虫还利用内置的 SMTP/ESMTP(邮件传输)引擎发送已感染系统的信息给攻击者,特别是 IP 地址和系统信息。

该蠕虫群发的邮件中包含看似指向 .pdf 文件或 .wmv 视频的链接,但事实上该链接指向恶意的 .scr 文件。垃圾邮件的内容已出现不同的措辞,例如:

1.

Subject: hi

Hello:

This is The Free Dowload Sex Movies,you can find it Here.
hxxp://malicious-link-omitted/library/SEX21.025542010.wmv
Enjoy Your Time.

Cheers,

2.

Subject: Just for you

Hello:

This is The Document I told you about,you can find it Here.
hxxp://malicious-link-omitted/library/PDF_Document21.025542010.pdf

Please check it and reply as soon as possible.

Cheers,

3.

Subject: Here you have

Hello:

This is The Document I told you about,you can find it Here.
hxxp://malicious-link-omitted/library/PDF_Document21.025542010.pdf

Please check it and reply as soon as possible.

Cheers,

在我们的恶意软件百科全书 (malware encyclopedia) 中可以了解到更多关于 Visal.B 的信息。如果您怀疑已被感染,我们建议您安装可信厂商提供的杀毒软件(如 Microsoft Security Essentials),或者更新现有的杀毒软件并进行计算机扫描。其它信息请参考:www.microsoft.com/protect。获取更多帮助,请访问 Consumer Security Support Center

感谢 Rodel Finones 对这个蠕虫快速细致的分析。

 

Tareq Saade & Lena Lin

请注意:如果您从 MMPC其它备用下载点下载了测试版的病毒签名,该蠕虫可能被检测为 Worm:Win32/VB.WF。

Comments (0)

Skip to main content