7月22日,瑞星全球反病毒监测网截获一个利用WORD软件漏洞肆虐的蠕虫病毒,并命名为“万珍(Worm.Mail.Vagan)”病毒。瑞星反病毒专家介绍说,黑客大量发送带毒邮件,邮件里携带的Word文件就是病毒。
有漏洞的用户只要运行这个文件,即被病毒感染。病毒会修改用户的浏览器首页,还会造成电脑频繁重启,影响正常工作。
瑞星技术部门对“万珍”病毒的分析表明,该病毒会把中毒用户的浏览器首页修改为印尼政府的官方网站:http://www.indonesia.go.id/,并在此网址后面添加了一串字符“Dirgahayu-Indonesia-17-Agustus-MERDEKA!!!”,似乎是为了庆祝即将到来的印尼独立日(8月17日)。表面上看,虽然电脑感染该病毒后出现的现象跟“流氓软件”的浏览器劫持很相像,但病毒的危害要远远大于“流氓软件”。
瑞星专家说,“万珍”病毒利用了微软的MS03-050漏洞,病毒作者通过构造一个恶意Word文件来侵入用户系统。Microsoft Word 2002及以下版本的所有Word软件都存在此漏洞,用户应该尽快打好补丁(http://www.microsoft.com/china/security/bulletins/MS03-050.asp)。另外专家提醒说,即使用户打好了补丁,当卸载Word软件并重新安装后,补丁就会失效,还得重新安装一次,那些喜欢频繁重装Word软件的用户应该格外小心。
据介绍,“万珍”病毒会从中毒电脑里收集电子邮件地址,并把这些地址发送给特定的网站,但它自身不会主动发送带毒邮件。专家怀疑有人在专门收集中毒用户的邮件地址,在互联网上出售牟取利润。
同时,病毒还会自动从网上下载新版本的病毒,新病毒仍然伪装成Word文件,采用诱惑性的文件名欺骗用户打开,用户打开后就会中毒。瑞星反病毒专家提醒广大用户:1、升级瑞星杀毒软件2005版到17.36.42版;2、尽快弥补Word软件漏洞;3、不要打开带有Word文件的可疑邮件。如果电脑上莫名其妙的出现Word文件,这就可能是病毒自动下载的恶意文件,应该将其删除并对电脑进行全面扫描。
