|
病毒警告:PALYH(又称 SOBIG.B)一种伪装成微软技术支持邮件的蠕虫病毒 2003.10.20 如果您收到一封来自support@microsoft.com的邮件,一定要当心!这是新的Palyh蠕虫 (也有叫Sobig.B或 Mankx)病毒,它伪装成一封来自微软技术支持的邮件,让受害者武一种打开附件。从技术角度讲,这个蠕虫病毒没有采用什么新的技术;但实际上,危害却相当大。这种病毒自5月18日起,开始肆意蔓延。 您可以很容易的鉴别出被感染的邮件。如果邮件是来自support@microsoft.com并带有附件,那么,这封邮件就有可能是被感染了。因为微软在分发补丁邮件时,一般只会在邮件中包含一个链接,而不是一个附件。更何况您没有要求微软这样做。 Palyh邮件都是来自"support@microsoft.com"并包含一个随机的主题,如下所示: * Re: My application 而邮件的内容一般会含有如下文字: All information is in the attached file. 尽管它的名字回千奇百怪,但他总是包括一个后缀为.PIF的附件,有时,后缀也可能是.PI。 一旦您或您的用户打开了被感染的邮件附件,这个蠕虫病毒便会在被感染的计算机中搜索包含邮件地址的文件,并利用其自身的SMTP引擎将自己放松到所有的邮件地址。Palyh也通过局域网共享,将自己复制到网络商其他的计算机。然而,这个蠕虫被设定到5月31日,如果计算机是在5月31日以后被感染的,就不会再局域网中蔓延。 之后,Palyh会添加一个注册表键值以便在下一次计算机启动时,自动加载。尽管Palyh自身没有什么危害,但 他会自动到Geocites网站上下载升级。升级中会包含一些Trojan或後门,使病毒的作者可以完全控制被感染的计算机。 解决方案 * 下载并安装最新的病毒代码。 * 转告用户不要打开含有这种附件的邮件,尽管邮件显示为发自Microsoft.
如果您正在使用SMTP代理服务,请确认已将扩展名为“ .PIF”文件添加到阻塞的文件附件中。(设置方法详见http://help.watchguard.com/lss/60/User/proxies5.htm)如果您使用的是最新的Firebox软件,SMTP代理服务是将“ .PIF”文件设置为默认的阻塞文件的。当然,为了安全起见,最好也将.PI的扩展名也一并添加。 参考文献: McAfee's Web page regarding this virus Symantec's Web page regarding this virus |
