“掃把”新變種搗亂病毒郵件消耗帶寬

趨勢科技10月6日發布中度風險病毒警報，新的SOBER病毒 “WORM_SOBER.AC” 佯稱改變了你的密碼，引誘你打開帶有蠕蟲病毒的郵件，正侵襲全球網絡，目前正在美國、德國和日本迅速傳播中。

趨勢科技全球防毒研發暨技術支持中心 TrendLabs 分析指出，這個新的SOBER蠕蟲病毒利用電子郵件進行傳播。該蠕蟲使用內置的郵件發送引擎發送攜帶自身拷貝的郵件，蠕蟲會從帶有特定擴展名的文件中收集郵件地址，這些文件與受感染用戶所訪問的網頁有關。蠕蟲之所以收集這些類型的文件，是因為訪問過的網頁可能會含有與郵件地址有關的文本字符串。

郵件正文則用英文或德文寫成，通知用戶獲得了新的密碼：

Your password was successfully changed!

Please see the attached file for detailed information.

同時攜帶一個pword_change.zip的壓縮文件的附件。如果運行這個附件蠕蟲會生成多個實現群發郵件功能的文件，這些功能會消耗受感染網絡的帶寬。病毒郵件的樣本截圖如下：

當你打開了附件並運行時，病毒會顯示如下的錯誤消息：

病毒會在%Windows%\ConnectionStatus位置生成一個名為SERVICES.EXE的自身拷貝。

(注意: %Windows% 是Windows文件夾，通常就是C:\Windows或C:\WINNT。)

在上述行為後，病毒會終止最初運行的文件，並將控制權交給生成的拷貝。

在今年五一黃金周的時候“掃把”病毒即假冒國際足聯的名義偽裝成免費贈送世界杯門票的郵件，現在十一長假“掃把”病毒又利用用戶密碼來造訪，5自學網，仿佛就是利用大家在假期的懈怠心理進行偷襲。因此，趨勢科技提醒廣大計算機用戶，遇到具有上述特征的郵件信息時不要輕易打開郵件並運行附件，最好將其直接刪除。目前，5自學網，趨勢科技已經發布了病毒特征碼879來檢測該病毒，趨勢科技的用戶必須在掃描系統之前下載最新病毒碼文件，其他的互聯網用戶可以使用趨勢科技的免費在線病毒掃描Housecall。