7月25日,江民反病毒研究中心监测发现,一名为“吗啡”(Worm/Myfip)的病毒正在互联网迅速传播,本月已出现十几个变种。此病毒可盗取被感染用户计算机内以.PDF、.DOC、.MAX及.PCB等为后缀的文件,并将搜索到的文件发送到黑客指定的FTP。由于带有病毒的邮件来自中国,美国某安全专家误称近日遭到了中国黑客的攻击。
据江民反病毒专家介绍,
Worm/Myfip.a“吗啡”是一个可盗取被感染用户计算机内文件的蠕虫。该蠕虫运行后,可修改注册表,以实现开机自启,并将代码注入到explorer.exe,以避免病毒程序进程被终止。创建一个名为“I love you”的文本文档,并将该文档设为共享。利用密码字典破解共享弱口令,并在在系统目录下创建temp.txt、Dfsvc.exe、dltksvc.exe及kernel32dll.exe等文件。将文件dltksvc.exe注册为服务,以管理员权限运行Dfsvc.exe。利用FTP连接指定站点,下载一个包括黑客指定FTP的服务器地址、用户名及密码的文件。在“All Users”“System Volume Information”“My Music”等路径内搜索以.PDF、.DOC、.MAX及.PCB等为后缀的文件,并将搜索到的文件发送到黑客指定的FTP。
我国著名反病毒厂商江民科技研发部总经理何公道对于美某安全人员的言论表示质疑,他认为该病毒最初可能是由我国学生或者游戏玩家针对试卷或网游帐号制作出来的蠕虫病毒,近日经过重新修改后,可以用来拷贝CAD、Word等多种格式的文件。但盗取WORD等文档的病毒很多,该病毒只是其中一种,且该病毒本身并没有任何针对美国的特性。
何公道进一步强调,由于网络的无国界性,一个蠕虫病毒可以在极短的时间内迅速传遍世界每一个角落,不管病毒源来自何处,都不能据此认为遭受来自某国家的黑客袭击。正如冲击波病毒来自美国,但中国人并不能就此认为中国遭受来自美国的黑客袭击一样。
针对“吗啡”病毒,江民反病毒专家建议,安装KV2005并升级到6月12日病毒库,开启病毒实时监控,即可有效防杀“吗啡”病毒,此外,设置江民杀毒软件隐私保护功能,可有效阻止黑客利用此病毒窃取机密信息。
|