日前,互联网上出现了Worm_Mytob病毒的新变种――Worm_Mytob.MX。该病毒在较短时间内,在欧洲等地快速传播,有迹象表明该病毒还有扩大蔓延之势,SurfControl 美讯智正在密切关注该变种的最新动向,及时为中国用户提供有效解决方案。
SurfControl 美讯智的安全专家发现, Worm_Mytob.MX驻留内存,并利用自身的SMTP引擎按照邮件地址列表中的邮件地址向外发送病毒邮件。该病毒变种通过搜索本地硬盘文件收集邮件地址,并躲避主流防病毒程序,另外,该病毒变种还自动生成邮件用户账号,采用目录攻击(Directory Attack)的方式向猜测的邮件服务器发动病毒邮件攻击。
Mytob变种会产生一些任意的 IP 地址,并尝试在这些 IP 地址机器的默认共享中产生病毒的自身拷贝。该病毒还具有后门功能,使不同的端口连接到指定的服务器上面,该服务器监听来自远程恶意用户的指令,利用这个指令远程用户可以控制受感染机器,危害系统的安全。同时,该变种还可以利用一个任意的端口建立一个 FTP服务器。一旦受感染系统成为 FTP 服务器,远程用户就会在用户未经允许的情况下下载或上传文件或是恶意程序。
SurfControl美讯智早在2005年6月13日就已经在RiskFilter加入了Worm.Mytob病毒的特征代码,并与2005年11月25日发布了针对该变种的更新。RiskFilter可以成功识别并拦截Worm_Mytob.MX变种病毒。RiskFilter能够分析收件人账号信息的合法性,识别目录攻击,自动拦截发动病毒攻击的IP地址,避免给邮件服务器和个人电脑带来更大的病毒扫描负担。
由于该病毒变种发送的邮件附件后缀名为:pif、scr、exe、cmd、bat,还有zip压缩文件。SurfControl 美讯智特别在RiskFilter 5.0中新增加了 “空中拦截” 功能,以在SMTP层拦截包含此类后缀名的文件,无须经过更多的内容分析和附件扫描,大大提高了处理性能和效率。可以说, RiskFilter能够拦截垃圾邮件、病毒邮件、网络钓鱼攻击等任何一种可能危害企业信息系统的电子邮件的潜在危险等。垃圾邮件过滤准确率高于98%,误判率低于0.01%,识别病毒高达16万种并保持7x24小时更新,同时还能深入邮件正文和附件内容进行关键字匹配、正则表达式匹配等扫描。Risk Filter支持各种常见附件格式扫描,如:word, rtf, eml,html, xml, pdf 等文档,以及zip, rar , arj, tar, jar 等压缩文档)通过过滤携带病毒的垃圾邮件,有效控制病毒和垃圾邮件的泛滥。
对付Worm_Mytob.MX 这种混合型的内容威胁,SurfControl 美讯智的安全专家提醒用户:一方面定时升级防垃圾邮件和防病毒软件,做好垃圾邮件和病毒检测和清除的相关配置,并启动实时监控系统和防火墙;另一方面要定期升级操作系统和常用软件,并及时修补漏洞,堵住病毒入口;此外还要谨慎收发电子邮件,不要随便打开不明邮件地址的来信和可疑附件。