6月3日,趋势科技发布了板斧病毒(WORM_BOBAX.P)中度风险警报。病毒邮件以CNN报道本拉登被抓和萨达姆越狱被击毙为噱头,以达到吸引点击的目的。这种驻留内存的蠕虫病毒可以利用Windows的LSASS漏洞进行传播,该病毒会不断的转发邮件,还会修改系统的HOSTS文件,阻止用户访问某些网站。趋势科技表示,目前已经收到了来自美国、新加坡、爱尔兰、日本、秘鲁、澳大利亚和印度等地的病毒报告。
板斧病毒由木马TROJ_SMALL.AHE下载到系统中,并使用自身的SMTP(Simple Mail Transfer Protocol)引擎将木马TROJ_SMALL.AHE作为附件发送邮件。木马与蠕虫的混合加大了病毒传播的机会和危害。该病毒还会修改系统的HOSTS文件,阻止用户访问某些网站。
病毒作者对病毒发出的邮件利用社会工程学进行设计。用户收到的病毒邮件的标题都是空白的,所发送的病毒附件会用“布什”、“玩笑”、“滑稽”或者“图片”等名字来吸引用户打开附件。
板斧病毒还会通过获取受感染系统的用户名并添加字符串@yahoo.com作为发件人。该病毒还会利用Windows 的LSASS漏洞进行传播。该漏洞属于缓冲区溢出漏洞,可以允许执行远程代码并使攻击者获取受感染系统的控制权。
如果不幸遇到这种病毒,请首先重启电脑并进入安全模式,然后通过使用防病毒产品扫描系统辨别病毒程序。由于该病毒会修改系统的注册表键,受该病毒感染的用户需要修改或删除这些注册表键。最后,从注册表中删除自动运行键,清除HOSTS文件中的病毒键来最后清除此病毒。需要提醒的是,针对运行Windows XP的用户必须禁用系统还原,从而可以对受感染的系统进行全面扫描。另外,由于板斧病毒与木马TROJ_SMALL.AHE相关联,所以在清除板斧的同时,也应该检查受感染的系统是否感染了木马TROJ_SMALL.AHE。
该病毒利用Windows 系统中的已知漏洞。建议用户下载并安装由微软提供的修复补丁。在适当补丁发布之前,请克制使用该产品。
紧急解救方法:
趋势科技用户将病毒码升级到2.663,TSC升级至612。(T114)