Created: 2008-09-27 11:35:31
有一種蠕蟲會積極地經由Windows Live Messenger或通過一些社交網絡服務(MySpace,Hi5等)不斷傳播。根據報告資料,我們知道MSN,AIM和Triton的用戶都會受到攻擊。
當這蠕蟲感染了一台電腦時,當前版本的蠕蟲會發送西班牙語的郵件(“Yo creoque esta es tu fotografia! (並加上一個網址引誘使用者下載惡意程式))到Windows Live Messenger連絡清單上的所有好友,並欺騙收件者打開圖片,點擊該會下載惡意程式的連結。在使用者照提示下載並執行一個檔案後,它會在一個 「Windows Microsoft Viewer」的對話框中顯示「不能顯示圖片」。如果您看到這個訊息,即代表您在電腦已被感染。
當執行後,它會把自己新增到登錄檔中的[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]和儲存到% windir % winrofl32.exe 。該程式本身可以運作成一個標準的IRC bot並登錄到IRC頻道,等待攻擊者發出命令。
ESET在3387的更新中,檢測它為Win32/Inject.NBL它作。(感謝Pierre-Marc和Aryeh提供資料)
請注意:
-訊息的用詞,內容,甚至語言都可以隨時更改。
-惡意程式本身也可以隨時被更改,而且幾乎是必定的,這使防毒程式難以單靠傳統的病毒資料庫偵測它出來。
David Harley
ESET 惡意程式研究員