|
風險級數:
|
WORM_ LIAC.A
別多管閒事開啟「WORM_LIAC.A」機密檔案 |
趨勢科技9日發佈中度病毒警訊,一隻名為”WORM_LIAC.A”的新病毒,假冒著著
AVI (影片撥放) 格式的檔案,並且以信件主旨為「LILAC
project video attach」(附件為LILAC專案影片),信件內容為「Things
that the govt. dont want you to know」(政府官員不想讓你知道的事!),附加檔案為「LILAC_WHAT_A_WONDERFULNAME.avi.exe」的電子郵件,迅速在全球各地擴散。如果您收到以下的信件,請不要打開這封信,直接刪除它!
趨勢科技表示,這隻名為”WORM_LIAC.A”的新病毒,假冒著AVI(影片撥放)格式的檔案,也就是外觀看起來是影片檔的ICON,但實際上為exe執行檔的郵件各地擴散,而且網友一旦執行此檔案,同樣會大量發送電子郵件給通訊錄中名單的人。根據趨勢Trend
Lab指出,由於這是首次有病毒以AVI的偽裝檔案擴散,所以網友的戒心較弱,因此這隻病毒在美國已經傳出不少災情,不過目前台灣因為發現早,尚未傳出任何災情,對此,趨勢科技已針對該公司所有用戶發佈病毒警訊,並呼籲使用者即刻更新防毒元件。趨勢科技同時建議,該病毒具有特定附件檔案名稱,企業用戶可採用內容過濾軟體,如:趨勢eManager電子郵件過濾軟體,加以攔截及偵測。
信件主旨:LILAC project video attach
信件內容:Things that the govt. dont want you to know
附加檔案:LILAC_WHAT_A_WONDERFULNAME.avi.exe
散播方式:Microsoft Outlook 電子郵件
解決方法:
趨勢科技產品用戶請立即更新掃瞄引擎至6.15以上和病毒碼至309
(含)以上,以偵測及清除此病毒
[更新病毒碼]
|
風險級數:
|
WORM_ FRETHEM.E
通關密語病毒WORM_ FRETHEM送來病毒而非密碼 |
一隻名為” WORM_ FRETHEM.E”的新病毒,正透過電子郵件方式,並且以信件主旨為「Re: Your password!」(你的通關密語),信件內容為「ATTENTION! You can access very important information by this password. DO NOT SAVE password to disk.use your mind. now press cancel」(注意!你可以用此密碼獲取重要訊息,別存入硬碟中,請記下來再取消)迅速在全球各地擴散。此病毒在郵件預覽下即會感染系統,如果您收到以下的信件,請不要打開這封信,直接刪除它!
用戶一旦不小心中毒,病毒便會大量寄發郵件給通訊錄中的人,造成伺服器的負荷,根據趨勢科技目前掌握到的訊息,美國已經有不少災情傳出,不過目前台灣因為發現早,尚未傳出任何災情,對此,趨勢科技已針對該公司所有用戶發佈病毒警訊,並呼籲使用者即刻更新防毒元件。趨勢科技同時建議,該病毒具有特定附件檔案名稱,企業用戶可採用內容過濾軟體,如:趨勢eManager電子郵件過濾軟體,加以攔截及偵測。此外針對通關密語病毒一預覽就會遭感染中毒的特性,趨勢科技也提醒用戶立刻關閉信箱的預覽功能。
網際網路的運用已經深入人們日常生活,尤其是各種網路商城、購物、以及會員機制的普及化,人們也漸習於在各式網站中加入會員,或是進行購物、下單、聊天等行為,所以更是視電子信箱中收到一些所謂網站送來的「Password」為習以為常的事,也因此,又給了病毒製造者一個興風作浪的機會,假藉利用這種傳送「Password」的機會,傳送病毒!網路越來便利,但也越來越危機伺四伏,網友們最好是時時提高警覺。
信件主旨:Re: Your password!
信件內容:ATTENTION!
You can access very important information by this password
DO NOT SAVE password to disk
use your mind
now press cancel
附加檔案:有二個,Decrypt-password.exe(病毒檔案)以及password.txt(文字檔,沒有病毒)
散播方式:Microsoft Outlook 電子郵件
解決方法:
一、刪除該病毒前必須先停止其產生的惡性處理程序,停止的步驟如下:
1.開啟工作管理員Open the Windsows Task Manager.
o Windows 9x/ME 系統, 請按 CTRL+ALT+DELETE
o Windows NT/2000/XP 系統, 請按 CTRL+SHIFT+ESC
2.由正在執行的處理程序中尋找:
"Setup" 或 "Setup.exe"
3.選擇該處理程序後,執行「結束處理程序」(Windows NT/2000/XP)或「結束工作」(Windows 9X/ME).
4.關閉並重新開啟工作管理員以確認該惡性處理程序已確實被停止.
5.關閉工作管理員.
二、趨勢科技產品用戶請立即更新掃瞄引擎至6.15以上和病毒碼至299(含)以上,以偵測及清除此病毒。
三、如果您有安裝eManager可以設定收到Decrypt-password.exe檔案附件移除。
[更新病毒碼]
|
風險級數:
|
JS_SQLSPIDA.B
新型態攻擊模式病毒,專找MS SQL Server下手
小心伺服器上的重要資料庫管理者密碼遭病毒竊取 |
趨勢科技今日22發佈JS_SQLSPIDA.B的病毒警訊,發現一種新型態病毒特別針對SQL Server為攻擊目標。此JavaScript蠕蟲病毒透過一種全新的傳染途徑,感染Microsoft SQL之伺服器,且這SQL伺服器的管理者(sa)是沒有密碼的(安裝完SQL Server的預設值),並在被感染之伺服器內產生特定的檔案,使得系統會將內部資料傳送到一特定之郵件信箱,藉此竊取受害者的重要資料,另外,一旦此IP 成為攻擊目標被感染之後,網路流量便會爆增,降低效能,而且會成為另一個隨機產生IP位置而去散佈病毒的工具。趨勢科技建議用戶請小心並且即刻更新最新病毒碼至289,並且掃瞄系統所有檔案,將掃描感染到BAT_SQLSPIDA.B和JS_SQLSPIDA.B的檔案全部刪除。
此外,趨勢科技TrendLabs更進一步指出,根據分析報告,該病毒會利用其本身隨機產生許多IP清單,並連線至這些IP位置之TCP port 1433(此為SQL server 使用的port)。也就是說,病毒會嘗試去尋找IP清單上的電腦是否使用SQL Server,一但被偵測到有安裝SQL,便成為病毒下手攻擊的目標。
造成上述三個危害症狀的主因:
第一、該病毒會將各IP所回應的資料存於RDATA.TXT中,並在該檔案中搜尋“1433/tcp” 字串。如果某IP回應的資料中有此字串,則病毒會使用此IP及隨機產生的密碼當作參數執行 SQLINSTALL.BAT(此批次檔趨勢科技偵測為BAT_SQLSPIDA.B),將病毒程式安裝至使用該IP之機器上。此後,病毒會停止運作並伺機將RDATA.TXT 檔案刪除,再重新開始隨機產生新的IP位置進行攻擊。也就是說,被攻擊感染的伺服器也就成為下一個散佈攻擊病毒的源頭。由此一傳十、十傳百以驚人速度散開來。
第二、這些被攻擊的IP位置會產生10000個thread來存取該特定的port並建立10000個連線,使得網路流量增加,降低效能。
第三、該病毒會使用 "ipconfig /all" 指令取得被感染機器之所有網路設定資料並儲存於SEND.TXT檔案中,此外亦將執行PWDUMP2.EXE所產生的帳號、密碼檔案儲存於同一份檔案中。同時病毒使用CLEMAIL.EXE email軟體將所產生的檔案寄到IXLDT@POSTONE.COM此特定帳號中,其信件主旨為 “SyetemData”。
解決方案:
請更新病毒碼至289並掃瞄系統所有檔案,將掃瞄到感染BAT_SQLSPIDA.B and JS_SQLSPIDA.B. 之檔案全部刪除。如果在您的機器上有偵測到該病毒,趨勢科技建議您再執行下列步驟:
1. 取消來賓(guest)帳號,如果因此病毒而無法取消該帳號的話,請使用下列方法在命令提示字元模式下取消該帳號:
net user guest /active:no
2. 更改SQL Server管理者(sa)的密碼
3.將本機管理者群組 和 網域管理者群組中之來賓帳號(guest)移除,可請使用下列方法在命令提示字元模式下取消該帳號
· net localgroup administrators guest /delete
· net group “Domain Admins” guest /delete
4.在命令提示字元模式下執行下列指令,將TIMER.DLL從memory中移除:
regsvr32 /u TIMER.DLL
5.在命令提示字元模式下執行下列指令,移除所有病毒產生的檔案:
· attrib -h %SysDir%\drivers\service.exe
· attrib -h %SysDir%\sqlexec.js
· attrib -h %SysDir%\clemail.exe
· attrib -h %SysDir%\sqlprocess.
· attrib -h %SysDir%\sqlinstall.
· attrib -h %SysDir%\sqldir.js
· attrib -h %SysDir%\run.js
· attrib -h %SysDir%\timer.dll
· attrib -h %SysDir%\samdump.dll
· attrib -h %SysDir%\pwdump2.exe
· del %SysDir%\drivers\services.exe
· del %SysDir%\sqlexec.js
· del %SysDir%\clemail.exe
· del %SysDir%\sqlprocess.js
· del %SysDir%\sqlinstall.bat
· del %SysDir%\sqldir.js
· del %SysDir%\run.js
· del %SysDir%\timer.dll
· del %SysDir%\samdump.dll
· del %SysDir%\pwdump2.exe
附註: 上述之 %SysDir% 通常是 C:\Windows\System or C:\WinNT\System32.
這隻病毒若有其他資訊, 我們會持續更新台灣趨勢網站, 請隨時注意網站內容
此外趨勢科技也建議用戶採用「ServerProtect檔案伺服器防毒軟體」,是有效的內部網路防毒管理應用軟體,可以有效地捍衛檔案伺服器和網域內的資訊安全,免於電腦病毒的攻擊,並且能利用新一代的防毒中央管理軟體(TVCS)特色,讓管理者從單一的主控台來安裝並且管理ServerProtect。「ServerProtect檔案伺服器防毒軟體」目前可支援如:Windows NT/2000、NetWare、RedHat Linux等多種平台。
相關網站:
趨勢科技 http://www.trendmicro.com.tw/
關於趨勢科技:
趨勢科技1988年成立於美國加州,目前全球約有1600名員工,包含亞洲、美國、南美洲和歐洲皆設有據點。趨勢科技擁有最完整的產品線:自PC、Internet Appliance、Network Server至Internet Gateway的全方位解決方案,該公司的網路核心安全技術已成為業界標準,近年來,更積極研發多項全新的網路安全服務方案。趨勢科技目前在美國Nasdaq(TMIC)及日本東京證交所第一部(4704)皆正式掛牌,且市值持續成長,為全球名列前茅的網際網路公司
[更新病毒碼]
|
風險級數:
|
PE_ELKERN.D
「求職信病毒」千變萬化,全世界陷入恐慌 |
趨勢科技繼昨日17發佈WORM_KLEZ.G「求職信病毒」的高度病毒警訊之後,今日(18日)再度發佈另一波變種病毒的高度病毒警訊,這隻名為「求職信病毒」的變種” PE_ELKERN.D”的新病毒,利用電子郵件方式,迅速在全球各地擴散。尤以亞洲地區最為嚴重,目前在日本已有數十餘家企業受到此病毒感染。
趨勢科技於17日發佈WORM_KLEZ.G 的求職信變種病毒高度風險病毒警訊,今日在日本又發現求職信變種病毒PE_ELKERN,此變種病毒雖與WORM_KLEZ.G名稱屬性不同,但確實屬於同一類型變種病毒,攻擊手法和WORM_KLEZ.G相同,不需執行郵件附加檔案,只要預覽此病毒信件,就會受到病毒感染,而且一旦不小心中毒,病毒便會大量寄發郵件給通訊錄中的人,造成伺服器的負荷。此求職信病毒千變萬化,防不勝防。趨勢科技TrendLabs針對這隻病毒的變種詳細分析後表示,WORM型病毒和PE型最大的差別點在於,用戶一旦不小中了前者病毒,電腦中將會被此類似後門程式的病毒種進去一些不該出現的執行檔,而如果是中了PE型病毒,則是會偵測出電腦中原有的部分檔案有中毒現象。
這次則是以不固定主旨,沒有信件內容,沒有附加檔案的詭譎形式出現,而且此最新變種病毒不同於以往病毒攻擊方式,以往病毒是透過e-mail傳播並且執行e-mail附件才會感染,但此新變種病毒攻擊手法惡劣,使用者只要預覽此病毒信件,不需執行任何附加檔案,就已經受到病毒感染。事實上這種一經預覽用戶就會中毒的病毒已經不是第一次出現,對此趨勢科技再次呼籲使用者盡量不要開啟郵件預覽功能,以免遭受此破壞力十足的求職信變種病毒攻擊。
另外,趨勢科技更發現某些用戶在中了WORM_KLEZ病毒之後,散發病毒的同時,病毒信件的寄件者將不再是中毒者本身,而會隨機抓取通訊錄中其中一個來充當寄件者,如此一來便會出現沒有中毒者被冒名發送中毒信件的狀況,造成非中毒者名譽上之損失。此外,趨勢科技提醒用戶如果您發現您的信箱中大量湧進中毒通知的信件,就有可能是您的戶名被盜用,建議您可以使用趨勢科技的清除程式掃過一次,如果發現
"No Virus Found"那才表示安全了。
如果您收到以下型態的信件,請小心謹慎不要打開這封信,最好直接刪除它!
信件主旨:不固定
信件內容:空白
附加檔案:無
危險程度:高
解決方法:
趨勢科技產品用戶請立即更新掃瞄引擎至5.2以上和病毒碼至267(含)以上,以偵測及清除此病毒
趨勢科技提醒電腦族,對於來路不明的電子郵件,不隨便開啟,並應養成資料備份的好習慣。這隻病毒若有其他資訊, 我們會持續更新台灣趨勢網站, 請隨時注意網站內容
[更新病毒碼][下載清除程式]
|
風險級數:
|
WORM_KLEZ.G
「求職信病毒」一變再變,襲捲全台各大行業 |
趨勢科技17日發佈高度病毒警訊,一隻名為「求職信病毒」的變種” WORM_KLEZ.G”的新病毒,利用電子郵件方式,迅速在全球各地擴散。尤以亞洲地區最為嚴重,日本、台灣等地約有數萬台電腦陷入癱瘓。目前在台灣已有數十餘家企業受到此病毒感染。
趨勢科技TrendLabs分析後表示,這隻”求職信” (TROJ_KLEZ或PE_ELKERN)病毒於去年10月底現身,具有電腦蠕蟲的特性。半年多來,變種不斷產生,造成全球災情嚴重!此最新變種病毒不同於以往病毒攻擊方式,以往病毒是透過e-mail傳播並且執行e-mail附件才會感染,但此新變種病毒攻擊手法惡劣,使用者只要預覽此病毒信件,不需執行任何附加檔案,就已經受到病毒感染。用戶一旦不小心中毒,病毒便會大量寄發郵件給通訊錄中的人,造成伺服器的負荷。趨勢科技再次呼籲使用者盡量不要開啟郵件預覽功能,以免遭受此破壞力十足的求職信變種病毒攻擊。
如果您收到以下的信件,請不要打開這封信,直接刪除它!
信件主旨:不固定
信件內容:空白
附加檔案:無
危險程度:高
解決方法:
趨勢科技產品用戶請立即更新掃瞄引擎至5.2以上和病毒碼至265 (含)以上,以偵測及清除此病毒
趨勢科技提醒電腦族,對於來路不明的電子郵件,不隨便開啟,並應養成資料備份的好習慣。這隻病毒若有其他資訊, 我們會持續更新台灣趨勢網站, 請隨時注意網站內容
[更新病毒碼][下載清除程式]
|
風險級數:
|
WORM_MYLIFE.B 「私密生活病毒」透過諷刺漫畫大行其道 |
趨勢科技今天(22日)發佈中度風險病毒警訊,一隻名為「私密生活病毒」“WORM_MYLIFE.B ”的新病毒,正透過電子郵件的方式,迅速在全球各地擴散。這隻病毒的電子郵件主旨為「bill caricature」,內文為「Hiiiii,How are
youuuuuuuu? look to bill caricature it's vvvery verrrry ffffunny :-」 :-」 i promise you will love it? ok 」(嗨,你好嗎?看看這個諷刺漫畫,非非非….常好好好……笑,我保證你會喜歡!)
用戶一旦不小心中毒,病毒便會大量寄發郵件給通訊錄中的人,造成伺服器的負荷,並且會刪除某些特定附檔名的檔案,如:C:\*.* ,D:\*.*,E:\*.*,F:\*.*,*.SYS,*.VXD,*.OCX,*.NLS。根據趨勢科技目前掌握到的訊息,澳洲和紐西蘭已經有不少災情傳出,不過目前台灣因為發現早,尚未傳出任何災情,對此,趨勢科技已針對該公司所有用戶發佈病毒警訊,並呼籲使用者即刻更新防毒元件。趨勢科技同時建議,該病毒具有特定附件檔案名稱,企業用戶可採用內容過濾軟體,如:趨勢eManager電子郵件過濾軟體,加以攔截及偵測。
特別要提醒用戶注意的是,這封郵件內容當中赫然出現有MCAFEE.COM驗證過表示此封信件無毒的訊息(========No Viruse
Found========MCAFEE.COM),事實上這是故意夾在病毒信件內容中之惡作劇訊息,藉此降低收信人戒心,所以許多用戶在失去警覺性之下執行了這個檔案,病毒就此傳了開來。
信件主旨:bill caricature
信件內容:Hiiiii
How are youuuuuuuu?
look to bill caricature it's vvvery verrrry ffffunny :-) :-)
i promise you will love it? ok
buy
========No Viruse Found========
MCAFEE.COM
----------------------------
----------------------------
附加檔案:. cari.scr
散播方式:Microsoft Outlook
解決方法:
1. 趨勢科技產品用戶請立即更新掃瞄引擎至5.2以上和病毒碼至248(含)以上,以偵測及清除此病毒
2.如果您有安裝eManager可以設定收到cari.scr檔案附件移除
|
風險級數:
|
WORM_FBOUND.B「哈日族病毒」挑在白色情人節發作
|
趨勢科技今天(14日)發佈中度風險病毒警訊,一隻名為「哈日族病毒」 “WORM_FBOUND.B ”(別名WORM_JAPANIZE.A)的新病毒,正透過電子郵件的方式,迅速在全球各地擴散。這隻病毒的電子郵件標題為一串不固定隨機出現的日文字,無內文,附加檔為patch.exe。用戶一旦不小心中毒,病毒便會大量寄發郵件給通訊錄中的人,造成伺服器的負荷。特別需要謹慎提防的是,這隻病毒一天之內已經陸續出現多隻變種: “WORM_FBOUND.C”和 “WORM_FBOUND.DAM”。根據趨勢科技目前掌握到的訊息,日本已經有不少災情傳出,對此,趨勢科技已針對該公司所有用戶發佈病毒警訊,並呼籲使用者即刻更新防毒元件。趨勢科技同時建議,該病毒具有特定附件檔案名稱,企業用戶可採用內容過濾軟體,如:趨勢eManager電子郵件過濾軟體,加以攔截及偵測。
值得特別注意的是,過去多次出現過病毒以英文甚至西班牙文為主旨誘騙用戶上當,而像這隻病毒以日文文字為主旨出現倒是頭一遭。也因此當它一出現在日本,就快速地在日本引發連鎖反應,快速蔓延。尤其是最近哈日風盛行,與日本僅有一海之隔的台灣朋友更是要特別小心,收到這樣的日文信,別高興太早,以為是哪位你心儀的日本偶像回信給你啦,那其實是包藏禍心的病毒喔!
趨勢科技呼籲電腦族,如果收到以下的信件,請直接刪除它!
信件主旨: “Important”或一串不固定的日文文字
信件內容:無
附加檔案: patch.exe
散播方式:E-mail
危險程度:中
解決方法:
趨勢科技產品用戶請立即更新掃瞄引擎至5.2以上和病毒碼至242 (含)以上,以偵測及清除此病毒。
趨勢科技提醒電腦族,對於來路不明的電子郵件,不隨便開啟,並應養成資料備份的好習慣。這隻病毒若有其他資訊, 我們會持續更新台灣趨勢網站, 請隨時注意網站內容
|
