8月,史无前列的病毒活动月,8月第3周,更是史无前例的病毒活动周。从来没有出现过时间如此集中、传播范围如此之广的病毒“集体行动”。从“冲击波”到“冲击波杀手”,人们还没有从冲击波中缓过神来,好大病毒又故伎重演,利用人们的好奇心理,隐藏在邮件附件中大肆传播。
北京时间8月20日,位于英国的电子邮件过滤外包商已经注意到,20日早晨一种“Sobig”蠕虫病毒的变种正在快速传播,该公司从凌晨开始拦截了几百个副本,但这种蠕虫的副本复制速度已经在当地时间中午前快速增加到了每小时14000个。
这个名为“I-Worm/Sobig-F”(好大变种)的病毒与其前任“Sobig”非常类似,都是以电子邮件的形式传播,其附件文件带有.scr或.pif扩展名。电子邮件使用了各种各样的主题,包括“Your details”(您的详细资料)、“Thank you!”(谢谢您)、“Your application”(您的应用程序)和“Wicked screensaver”(屏保)。当用户打开上述蠕虫的.pif或.scr格式附件后,“I-Worm/Sobig.F” (好大变种)就会感染计算机并利用计算机中地址簿里的随机电子邮件地址进行自我复制后传给其他受害者。安全专家表示,这一蠕虫还使得计算机接收指令并试图从网上下载文件。如果被感染的计算机正处于一个共享网络当中,那么这一蠕虫还会试图自我复制然后入侵网络中的其它计算机。根据这一蠕虫的编写程序,其定于在9月10日停止传播。
安全专家表示,被“I-Worm/Sobig-F” (好大变种)感染后可能导致一些网络充斥垃圾邮件,被感染的系统不仅仅对蠕虫编写者开放,而且其他人也可以利用被感染的计算机从事破坏活动。
“I-Worm/Sobig。F” (好大变种)是在”I-Worm/Blaster”“冲击波”蠕虫之后接踵而来的,后者感染了全球数十万台计算机。周一,另外一个旨在将”I-Worm/Blaster”(冲击波)蠕虫从被感染的计算机中清除出去的蠕虫在网上出现,专家称这一名为“I-Worm/chian”(冲击波杀手)的蠕虫使得不少企业网络暂时瘫痪。此外,一个以电子邮件形式出现的恶意诡计也令人担忧,其假装是来自微软的补丁软件,但实际上电子邮件中却包含着一个特洛伊木马程序,该程序可以安装到计算机里为攻击者对计算机实施远程遥控打开一个方便的后门。
专家表示,自从“红色代码”RedCode和“中国一号”(又称尼姆达)I-Worm/China-1蠕虫在一年前相继出现之后,这还是头一次在如此短的时间之内出现这么频繁的蠕虫攻击活动。
I-Worm/Sobig(好大)的新变种非常类似于以前的版本。最早出现的I-Worm/Sobig病毒是在2003年1月,随后不断出现变种,变种之间的区别在于邮件的主题、正文、附件的名字及病毒的活性时间,I-Worm/Sobig最新变种F在2003年9月10日结束传播,破坏性与以前的完全一致。
I-Worm/Sobig.F病毒既通过邮件传播也能在本地网络蔓延,在本地网络传播的通常方法是将病毒体复制到共享的网络驱动器上,而通过Email传播是将病毒体秘密发送给在感染机器上获取的其他用户的邮件地址。含有I-Worm/Sobig病毒的邮件假扮成微软技术支持,引诱用户点击含有病毒的附件,从而激活病毒。I-Worm/Sobig病毒最核心的目地是从远程的Web服务器下载它的升级版本并将后门程序植入感染的计算机。
江民科技提醒广大计算机用户及时更新操作系统补丁,同时及时智能升级您安装的江民杀毒软件KV2004。目前最新版的江民杀毒软件KV2004查杀病毒数据库是2003年8月20日。该版都能实时监视、查杀以上均在2003年8月的第三周流行的病毒(本周据称是有史以来计算机病毒活动最猖獗的一周)。
2003年8月第三周内发作、并大规模流行病毒列表:
(1) 冲击波 I-Worm/Blaster
(2) 冲击波杀手 I-Worm/Chian
(3) 好大变种 I-Worm/Sobig.F
