据美国媒体5月19日报道,一个伪装成来自Microsoft.com的电子邮件病毒正在迅速传播。反病毒软件销售商称该病毒能够通过局域网进行传播并且能够在受感染的PC上安装贻害无穷的"spyware"软件。
称作Palyh或Mankx的该蠕虫显示的是发自一个伪造的地址support@microsoft.com。它内含一个可执行文件并且利用目标系统上的电子邮件地址进行自我传播,还能够在局域网上传播到其它的运行微软视窗的电脑上。尽管该可执行文件有.pi or .pif扩展名,但却是一个.exe文件。因为微软视窗处理文件是依照它们内部结构进行而不是它们与内里不符的扩展名,所以当一旦双击该文件时,视窗将运行该可执行文件。
据电子邮件外包业务公司MessageLabs称,该蠕虫看起来好象发源于荷兰,但周一上午有60%多的受感染邮件来自英国。这家位于英国的公司称,截止周一它的服务器已经截留了34000封有这样蠕虫病毒的电子邮件,其高峰期时达到每264封电子邮件中就发现有一封邮件是Palyh病毒邮件。
美国是该病毒感染第二多的国家,受感染的电子邮件达到6%。MessageLabs公司的病毒分析师Mark Toshak说:“英国目前受到了最严重的感染。”
反病毒软件公司Kaspersky Labs称,Palyh能够通过一个附件进入一台目标电脑或者通过局域进行自我复制。该蠕虫自我复制进微软视窗的MSCCN32.exe目录,并且在系统注册自动运行键中注册该文件以便能够被放入内存并且当系统导入时能够自动地运行。但是由于其代码中的某些错误,Palyh有时会复制进其它的目录并且因此有时自动运行功能失效。
据Kaspersky的公告称,当该病毒无误地自我复制时,它就开始其传播了。位于俄罗斯的该公司说:“为了进行传播,Palyh先扫描所有带有txt、eml、html、htm、dbx、wab扩展名的文件,然后从中选择它认为是电子邮件地址的对象。接着Palyh向使用SMTP服务器上的电子邮件软件进攻并且发送自己到被发现的邮件地址。”为了在局域网上进行传播,Palyh自我复制到其它的本地电脑上视窗自动运行文件夹。
Kaspersky称,尽管该病毒自己并没有多少危害,但它有能力装载其它引起危害的内容,通过这样,它能够秘密地安装自己新的版本或使受感染的目标留有spyware的程序。所谓的spyware就是在不经用户本人同意的情况下在PC上安装自己的软件。它也许能够监视网络浏览器或记录密码、信用卡信息或其它的电子商务数据,并且为不怀好意的第三方获得。
|