病毒快报/冒充安全更新程式蠕虫 上百家企业受害
更新日期:2006/10/26 10:14 记者:记者陈晓蓝/台北报导
趋势科技于日前发现一只冒充安全更新程式并自动至网站下载更新的蠕虫:WORM_STRAT.DX ,该蠕虫是一只会散发大量邮件的蠕虫家族,凭着重复透过电子邮件四处散播,已经造成台湾、日本、中国大陆等地超过百家的企业传出感染报告。趋势科技表示继今年九月WORM_STRATION.WO病毒在 Microsoft 预定推出当月安全性公告的前一天,冒充安全更新程式而大量散播,并不到一个月就累积了155只变种之后,此只WORM_STRAT.DX蠕虫之变种亦持续累积中,用户应谨慎面对。
遭受攻击的使用者会收到看似内部系统管理者发出的电子邮件,其中表示公司防火墙发现收件者寄发的信件中含有蠕虫,并且此蠕虫是一种利用微软视窗漏洞传播的全新网路病毒,要求使用者立即安装附件中的更新安全弱点的修补程式。当受害者信以为真而点选下载中毒之后,会出现一个视窗对话框,佯装更新成功讯息「Update successfully installed」,其结果是导致网路频宽被严重占用,甚至造成区域网路崩溃。
WORM_STRAT.DX除了藉由电子邮件散播外,也可能透过另一只名为TROJ_STRAT.DX的木马程式而下载到系统中。病毒为了误导使用者刻意使用双副档名,使其附件档看起来像是不会含有恶意程式的 . DAT 、. ELM、. MSG、. TXT、. LOG 等文字档或是资料档等档案格式。比如:「file.txt.exe」却会显示为「file.txt」,使收件者误以为是执行了纯文字档,事实上却是暗藏病毒的执行档。
病毒也将寄件者采用 83个常用的名字(如Adam,Alice,Betty,Bob,Clark,David……)和20个主机名称( 如areainc.com、elamex.com、fcradio.net、firstclassmoving.com、gametemple.com ……)随机套用来发送电子邮件。
另外,为扩大传染范围,病毒亦会从受害者系统中搜集包含ASP、CFG、CGI、DBX、DHTM、EML、HTM、HTML 等28种档案格式,以取得其他电子邮件帐号加以散播病毒信。且为了避免被专业单位发觉,病毒还会避免电子邮件中的寄件地址中含有包含政府、教育单位、安全厂商、科技公司,如.edu 、.gov、 .mil、@avp、@foo、admin…等等在内的62种字串。
趋势科技表示由于WORM_STRAT.DX病毒会在每次开机时自动执行,且会尝试自以下4 个网站下载恶意档案,表示系统将承受更多恶意攻击的威胁:
[url]htp://www2.tinmdesachlion.com/cgi-bin/a.cgi[/url]
[url]htp://www3.rtionkadesinpoion.com:80/cgi-bin/a.cgi[/url]
[url]htp://www3.rtionkadesinpoion.com:80/chr/821/lt.exe[/url]
[url]htp://www4.rtionkadesinpoion.com/chr/821/lt.exe[/url]
由于WORM_STRAT.DX蠕虫具有更新能力,一旦受害者连上网路,即会从多个网站下载恶意档案,使得变种以极快的速度不断产生,致使传统防毒软体以病毒码更新来侦测已知病毒的方式,难以发挥立即杜绝扩散效果,使得系统在短时间内大量壅塞,企业网路陷入难以动弹的地步。趋势科技技术总监王应达建议,针对此类型之病毒,企业不仅要防止email 病毒,并需同时在闸道端针对HTTP流量做过滤及扫描。