近期,AVG中国实验室发现:岁末年终,一种携带新型病毒的邮件正在以当前的热点事件为标题,以吸引用户点击其中携带的恶意链接为目的,从而获得大范围的传播。其中以“维基解密”以及“您的联邦税费的缴纳请求被拒绝(Your Federal Tax Payment has been rejected)”为相关内容的邮件病毒最为典型。与以往的病毒邮件相比较,这种邮件蠕虫主要有以下的两点不同
1利用的当前的热点事件以及和用户生活息息相关的公共服务信息进行传播.
不同于以往以美女图片、物品打折信息相关的病毒邮件,这次病毒利用当前的热点事件以及或者您的生活息息相关的公共服务事件进行传播,似乎这是邮件病毒的一个新的趋势。试想如果您收到一份关于维基解密事件的邮件,或者是一封关于您水费缴纳失败相关的邮件,您很有可能去点击其中的链接。以下是我们从一个最近邮件蠕虫中截获的邮件内容。
(因为出于安全的考虑我们抹去了恶意链接以及收件人的地址)
2.携带零日漏洞的恶意链接
以往很多邮件大多数都是以附件的方式携带病毒,然而现在这种方式已经很难欺骗到用户。大多数人都意识到直接点击邮件附件是一件很不安全的行为。所以这种新的以超链接方式携带恶意网站的方式出现了,大多是以以下方式:
<a href =3D" http://****.gov/R21http://******.go.ro/info.html">http://****.gov/R21</a >
一旦用户不小心点击此链接,就会定位到相关的恶意网址,经过我们的分析,这些网址大多数都携带了当前最新的零日漏洞。此例中,点击此网址,出现导致用户直接下载此PDF文件:
此文件利用了当前最新的Adobe的漏洞,未修复此漏洞的用户为导致直接下载病毒文件,AVG可以检测此文件为Exploit_c.SRW。
同时,此病毒会向系统目录释放以下文件wuaucldt.exe, 此程序名跟windows自带的更新程序:wuauclt.exe非常的相似,具有一定的迷惑性。
如果感染此病毒,用户的电脑将成为僵尸网络中的一员,会根据黑客的指令对正常的网站发起攻击,或者向其他的用户发送类似的病毒邮件,并且窃取用户电脑上的私密信息,危害非常的大。如果您发现您系统大量程序在使用邮件发送端口(端口号25)或者其他开启了其他的可疑端口,您的系统极有可能已经遭受到感染。
我们提醒您通过以下方式来预防此类病毒:
及时安装系统补丁以及常用应用程序补丁。
及时更新您的病毒特征定义。
不随意打开任何来历不明的邮件,不要被邮件标题所迷惑。
检查邮件正文,是否携带不明链接
最后,需要提醒您的是AVG2011终身免费版中提供邮件病毒的扫描器(Anti-spam)和链接扫描器(LinkScaner)。
其中值得一提的是:链接扫描器(LinkScaner),它不是仅仅提供恶意网站数据库的比对,而且提供被浏览网页的实时扫描,是您值得信赖的网页保护利器。
