網絡安全軟件和服務領域的世界領導者----趨勢科技(納斯達克代碼:TMIC;東京證交所代碼:4704)(昨晚)11月24日發布中度風險病毒警報,截獲新的魔頭變種病毒(WORM_MYTOB.MX)。這是今年以來魔頭病毒家族的第四次侵襲。MOYTOB.MX的最新特點是受病毒感染的機器可能會被變成FTP服務器,從而使惡意用戶可以上傳或下載文件。並且一旦系統感染這個病毒,系統運行速度將明顯減慢,並不斷自動向外群發附件帶有病毒自身拷貝的病毒郵件。魔頭新變種MX主要感染地區是歐洲,並且趨勢科技也已收到部分來自中國用戶的病毒感染報告。
趨勢科技全球防毒研發暨技術支持中心 TrendLabs 分析指出,病毒通過SMTP引擎可以很容易的發出郵件信息,而不需要使用其它的發送郵件的應用程序。
魔頭病毒還會從IE的臨時文件夾和帶有特殊擴展名的文件中搜集目的郵件地址。另外,也會從用戶的Windows通訊錄(Windows Address Book)中獲取收件人地址。收到郵件的用戶會認為該郵件來自已知的資源,從而運行其中的附件文件。
病毒還會使用一個名稱列表偽裝發件人。並通過對搜集到的郵件地址中的郵件服務器字符串添加不同的域名,組成新的郵件地址。
該病毒可以通過網絡進行傳播。它對網絡中的共享文件夾進行搜索並嘗試在這些文件夾中產生自身的拷貝文件。病毒還會產生一些任意的IP地址,5自學網,並嘗試在這些IP地址機器的默認共享中產生病毒的自身拷貝。病毒使用當前用戶賬戶中的信息登陸受密碼保護的共享。
該病毒還具有後門功能。它使用不同的端口連接到IRC服務器並加入到一個特殊的IRC頻道,5自學網,監聽來自遠程惡意用戶的指令。通過這種惡意行為,遠程用戶可以控制受感染機器,危害系統的安全。
該病毒還可以利用一個任意的端口建立一個FTP(File Transfer Protocol)服務器。一旦受感染系統成為FTP服務器,遠程用戶就會在未經允許的情況下下載或上傳文件。
趨勢科技提醒廣大計算機用戶,如果不幸遇到這種病毒,請首先結束病毒程序,該操作結束內存中運行的病毒進程。然後,從注冊表中刪除自動運行鍵,刪除注冊表中的自動運行鍵可以防止病毒在每次系統啟動的時候運行。最後,清除注冊表中由病毒產生的其他病毒鍵。需要提醒的是,針對運行Windows XP的用戶必須禁用系統還原,從而可以對受感染的系統進行全面掃描。 運行其他Windows版本的用戶可以不需要處理上面的附加說明。
緊急解救方法:
請趨勢科技用戶將病毒碼升級到2.967.00,TSC升級至682。其它的網絡用戶可以使用趨勢科技的 免 費 在 線 病毒 掃 描器 (Housecall) 。
病毒碼下載地址:
TSC工具下載地址: