趋势科技3今天同时发布两个中度风险病毒警报,继昨天下午“飞梭”病毒 “WORM_FATSO.A”大面积侵袭MSN用户后,又一新的蠕虫病毒“可乐””WORM_KELVIR.B”病毒也同时向MSN发起进攻。
由于“飞梭”病毒的多样化危害表现,该病毒已经形成了一定规模的感染。趋势科技于3月7日下午率先提供了对应的专杀工具。请及时到下面的地址下载:http://support.trendmicro.com.cn/2005/Anti-Virus/Tools/for-clean/special/WORM_FATSO.A/tsc.zip
同时导致全球病毒警报的病毒“可乐”WORM_KELVIR.B同样利用MSN进行传播。该常驻内存的病毒通过MSN Messenger复制自身拷贝传播。该病毒尝试从受感染的系统向所有在线的MSN messenger 用户发送即使消息。该消息诱使用户点击一个下载链接,并导致另一只病毒Worm_SDBOT.AUK进入用户的系统。
趋势科技全球防毒研发暨技术支持中心 TrendLabs 分析指出,本次同时出现两只病毒同时利用MSN传播,而且这两只病毒都具备多样化的损害能力,此种现象确实少见。从传播渠道看,这两个病毒都主要利用MSN,发作时会自动向所有在线的MSN联系人发送含有病毒拷贝的消息,使用如下的文件名诱惑用户点击下载:
Crazy frog gets killed by train!.pif
Fat Elvis! lol.pif
How a Blonde Eats a Banana...pif
Jennifer Lopez.scr
LOL that ur pic!.pif
Me on holiday!.pif
Mona Lisa Wants Her Smile Back.pif
My new photo!.pif
See my lesbian friends.pif
The Cat And The Fan piccy.pif
Topless in Mini Skirt! lol.pif
而一旦疏于防范的用户选择 “接受”下载了该病毒,屏幕会马上出现一个IE窗口,并尝试显示一个HTML格式图片;由于这个文件自身的问题,IE会提示用户图片无法正常显示,而病毒则利用这个机会完成了对系统的感染。
“飞梭”病毒会在系统的根目录下生成一个名为“Message to n00b LARISSA.txt”的文本文件,该文本文件含有如下内容:
“Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking
Saving the world from Bropia, the world n33ds saving from you!
'-S-K-Y-'-D-E-V-I-L-'”
“飞梭”病毒具备主动终止内存中的进程的能力,其攻击对象包含了大多数防病毒程序;通过改写系统中的“Hosts”文件,该病毒能够导致用户访问防病毒公司的网站寻求病毒码升级服务,或了解病毒相关信息时,会被引导到错误的网络位置,出现网站不可访问的结果。
为了增加病毒体在用户系统中存活的时间,该病毒还通过改写Windows注册表,开启了“系统还原”功能,将病毒文件写入到备份分区,利用Windows系统对备份分区的保护,逃避防病毒软件的查杀操作,并在用户选择还原操作时悄悄潜返系统中再次发作。