今年首見(jiàn)「高級風(fēng)險」毒熊病毒W(wǎng)32/Bugbear@MM現身

Network Associates旗下之防毒緊急應變小組 AVERT，監於新發(fā)現的W32/Bugbear@MM病毒（又稱(chēng)Bugbear毒熊病毒）擴散速度增加，將此病毒評為「高級風(fēng)險」。這是今年首次有病毒被AVERT評為「高級風(fēng)險」。

毒熊病毒Bugbear是一種經(jīng)電子郵件廣泛散播的毒蟲(chóng)，可自行傳送至電腦用戶(hù)通訊錄上的每一個(gè)人。此毒蟲(chóng)包含一個(gè)具Keylogging功能的木馬後門(mén)植入特徵。McAfee AVERT位於英國的研究所於九月三十日早上首次接獲此病毒的報告，而此病毒已在全球多個(gè)地方出現，包括美國、澳洲、印度、巴西及西歐多個(gè)國家。

毒熊病毒Bugbear是一個(gè)網(wǎng)路毒蟲(chóng)，一旦啟動(dòng)後，便會(huì )自行傳送至用戶(hù)通訊錄上的每一個(gè)人。Bugbear會(huì )自行復制至受感染電腦的Window Directory System，成為一個(gè).EXE格式的隨機執行檔案。Local Machine Registry則會(huì )被重新設定，以便影響下一次系統的啟動(dòng)。之後，毒蟲(chóng)會(huì )以系統中任何一個(gè)檔案的名稱(chēng)，自行復制成.EXE，并儲存於Startup文件夾內。

由於Bugbear采用不同的內容標題，用戶(hù)應即時(shí)刪除含有下列內容標題之電子郵件：* Found；* Daily Email Reminder；* Just a reminder；* Lost；* Market Update Report；* Membership Confirmation。電子郵件內文也各有不同，并可能包含受感染電腦內的檔案的部分內容。此外，附件名稱(chēng)亦各有不同，并可能包含下列字眼：* Card；* Docs；* Image；* Music；* Photo；* Pics；* Readme；* Resume；* Video。附件名稱(chēng)很有可能包含兩個(gè)延伸格式如doc.pif。發(fā)出的電子郵件會(huì )在Microsoft Internet Explorer用上不正確的MIME標題，令沒(méi)有SP2的Internet Explorer 5.01及5.5版本執行電子郵件附件。

Bugbear會(huì )在受感染的電腦開(kāi)設36794埠位，以搜尋不同的執行程序，并阻止這些程序的運作序包括多種個(gè)人防火墻與資訊安全產(chǎn)品。此病毒并會(huì )在受感染的電腦留下被偵測為PWS-Hooker.dll的Keylogger DLL。Bugbear感染電腦後，便會(huì )嘗試中止系統的安全程式運作。在收到的受感染個(gè)案中，有些電腦會(huì )將列印工作指令傳送至網(wǎng)路內所有網(wǎng)路印表機。此AVERT網(wǎng)站詳載所有可能受影響的系統安全程式：http://vil.nai.com/vil/content/v_99728.htm。

用戶(hù)可利用防毒公司的網(wǎng)站下載除毒方法及其他相關(guān)資料，例如於McAfee AVERT小組網(wǎng)站網(wǎng)址為http://vil.nai.com/vil/content/v_99728.htm。

本文由 CTIMES 同意轉載，原文鏈接:http://www.ctimes.com.tw/DispCols/cn/Network-Associates/%E7%BD%91%E9%99%85%E5%AE%89%E5%85%A8%E7%B3%BB%E7%BB%9F/0210091837XS.shtmll