病毒快報/冒充安全更新程式蠕蟲 上百家企業受害
更新日期:2006/10/26 10:14 記者:記者陳曉藍/台北報導
趨勢科技於日前發現一隻冒充安全更新程式並自動至網站下載更新的蠕蟲:WORM_STRAT.DX ,該蠕蟲是一隻會散發大量郵件的蠕蟲家族,憑著重複透過電子郵件四處散播,已經造成台灣、日本、中國大陸等地超過百家的企業傳出感染報告。趨勢科技表示繼今年九月WORM_STRATION.WO病毒在 Microsoft 預定推出當月安全性公告的前一天,冒充安全更新程式而大量散播,並不到一個月就累積了155隻變種之後,此隻WORM_STRAT.DX蠕蟲之變種亦持續累積中,用戶應謹慎面對。
遭受攻擊的使用者會收到看似內部系統管理者發出的電子郵件,其中表示公司防火牆發現收件者寄發的信件中含有蠕蟲,並且此蠕蟲是一種利用微軟視窗漏洞傳播的全新網路病毒,要求使用者立即安裝附件中的更新安全弱點的修補程式。當受害者信以為真而點選下載中毒之後,會出現一個視窗對話框,佯裝更新成功訊息「Update successfully installed」,其結果是導致網路頻寬被嚴重佔用,甚至造成區域網路崩潰。
WORM_STRAT.DX除了藉由電子郵件散播外,也可能透過另一隻名為TROJ_STRAT.DX的木馬程式而下載到系統中。病毒為了誤導使用者刻意使用雙副檔名,使其附件檔看起來像是不會含有惡意程式的 . DAT 、. ELM、. MSG、. TXT、. LOG 等文字檔或是資料檔等檔案格式。比如:「file.txt.exe」卻會顯示為「file.txt」,使收件者誤以為是執行了純文字檔,事實上卻是暗藏病毒的執行檔。
病毒也將寄件者採用 83個常用的名字(如Adam,Alice,Betty,Bob,Clark,David……)和20個主機名稱( 如areainc.com、elamex.com、fcradio.net、firstclassmoving.com、gametemple.com ……)隨機套用來發送電子郵件。
另外,為擴大傳染範圍,病毒亦會從受害者系統中蒐集包含ASP、CFG、CGI、DBX、DHTM、EML、HTM、HTML 等28種檔案格式,以取得其他電子郵件帳號加以散播病毒信。且為了避免被專業單位發覺,病毒還會避免電子郵件中的寄件地址中含有包含政府、教育單位、安全廠商、科技公司,如.edu 、.gov、 .mil、@avp、@foo、admin…等等在內的62種字串。
趨勢科技表示由於WORM_STRAT.DX病毒會在每次開機時自動執行,且會嘗試自以下4 個網站下載惡意檔案,表示系統將承受更多惡意攻擊的威脅:
[url]htp://www2.tinmdesachlion.com/cgi-bin/a.cgi[/url]
[url]htp://www3.rtionkadesinpoion.com:80/cgi-bin/a.cgi[/url]
[url]htp://www3.rtionkadesinpoion.com:80/chr/821/lt.exe[/url]
[url]htp://www4.rtionkadesinpoion.com/chr/821/lt.exe[/url]
由於WORM_STRAT.DX蠕蟲具有更新能力,一旦受害者連上網路,即會從多個網站下載惡意檔案,使得變種以極快的速度不斷產生,致使傳統防毒軟體以病毒碼更新來偵測已知病毒的方式,難以發揮立即杜絕擴散效果,使得系統在短時間內大量壅塞,企業網路陷入難以動彈的地步。趨勢科技技術總監王應達建議,針對此類型之病毒,企業不僅要防止email 病毒,並需同時在閘道端針對HTTP流量做過濾及掃描。