7月27日,瑞星全球反病毒監測網在國內率先截獲一個“SCO炸彈”(Mydoom/Novarg)病毒的新變種,並命名為“SCO炸彈變種N(Worm.Novarg.N)”。根據瑞星反病毒負責人蔡駿介紹,這是近4天之內截獲的“SCO炸彈”病毒的第二個新變種,借助新的傳播方式,該病毒可能在國內再次造成大范圍的電腦被感染。
在上周五出現的“SCO炸彈變種M”裡,編寫者嘗試了共享目錄、後門和電子郵件三種方式混合傳播,傳播速度很快。但是病毒編寫者好象不滿意變種M的傳播速度,周一下午開始,傳播速度更快的“SCO炸彈變種N”出現了,在最先出現的幾個小時裡,感染數量就跟年初的“SCO炸彈病毒”持平,據國外媒體報道,歐美地區遭此病毒感染的PC可能有數萬台。
據蔡駿介紹,此病毒最厲害之處在於利用了Google、Yahoo、lycos和altavista四個著名搜索引擎查找受侵害對象。病毒會先在被感染機器上查找電子郵件地址,然後利用搜索引擎查找跟被感染機器上的電子郵件地址相類似的地址,向其發送病毒郵件。“比如,在中毒機器上找到以@ggggg.com為後綴的地址,那病毒就會去搜索引擎找相同後綴的,這些後綴往往屬於同一個公司或機構,接到病毒郵件的人就誤以為是同事發來的正常郵件,從而受騙感染病毒。”蔡駿解釋說。
利用Google等搜索引擎查找用戶,利用熟悉的郵箱地址來欺騙電腦用戶,病毒編寫者精心設計的圈套目前看來已經得逞。同時,由於接受到大量的病毒發來的搜索請求,包括Google在內的四個搜索引擎已經變得速度很慢。
據瑞星技術部門分析,病毒郵件的標題可能為“readme”、“letter”、“mail”、“text”等,附件可能為“bat”、“cmd”、“com”、“exe”、“scr”、“pif”、“zip”格式。反病毒專家提醒用戶,當收到可疑郵件時,,請一定要把殺毒軟件升級到最新版本,並打開郵件監控功能,以免遭受病毒感染。
