趨勢科技全球病毒實驗室TrendLabs 最近接獲一隻透過熱門 VoIP 程式 Skype 散播的蠕WORM_SKIPI ,該蠕蟲使用 Skype 的聊天室功能,受感染者的所有連絡人皆會收到一個表面看似 .JPG 圖片檔,但實際上卻是指向其他惡意網址的連結訊息。若遭這隻蠕蟲感染,Skype線上狀態會在未經提示的情況下被改為請勿打擾或隱藏,而且無法變更上述狀態或開啟 Skype 程式。訊息中包含一個連結,按下之後便會下載蠕蟲。目前有超過6成的感染案例均來自於台灣,其次是與美國。
此外,這隻蠕蟲還會顯示以下圖片:
趨勢科技表示WORM_SKIPI 能視應用程式設定的語言,使用不同語言傳送「對話」訊息。即使連最謹慎的使用者都可能被此一手法騙過而按下訊息中提供的連結,因為這個連結看起來不具惡意性質,而且是確實是他們線上的連絡人傳來的。另外,其訊息不似其他即時通訊病毒只發一次訊息,為了更具「臨場感」,它會先問候:「How are U?」無論有沒有回應,10秒鐘左右,它會再發訊息:「I use photoshop and edited it」,5秒之以後會再給一個表情符號,接著再發一個看似圖片的連結,15秒後,還會問你看了嗎?「You Checked?」,最後還附上微笑表情符號。
這隻蠕蟲的惡意行徑還包括終止許多防毒與安全防護應用程式的相關處理程序,其中包括 OfficeScan Corporate Edition 等趨勢科技產品及其他廠商的產品。它還會修改系統的 HOSTS 檔案以阻止存取特定網址,其中大多是資安網站的網址。
Skype 目前約有 2 億 2 千萬個註冊使用者帳戶,隨時約有 9 百萬個使用者連線。如此龐大的數字意味著,若 WORM_SKIPI 一直未被偵測到,便可能迅速擴散。
趨勢科技可偵測這隻蠕蟲的病毒碼版本為 4.709.00,而 In-the-cloud 信譽服務也已針對這隻蠕蟲所有相關的網址加以封鎖。此外,趨勢科技還提供以下產品與服務,協助客戶防範此一威脅:
• 提供閘道安全防護的 InterScan Web Security Suite (IWSS) 或 Interscan Web Security
Appliance (IWSA)。上述產品能掃瞄 Web 內容並封鎖這隻蠕蟲透過即時訊息散發之惡意網址,防止這隻
蠕蟲擴散。
• 提供桌上型電腦安全防護的 Web 信譽服務 (WRS)。OfficeScan 與 Internet Security (PC-Cillin) 也具備瀏覽器層級的網址封鎖功能,能有效防止這隻蠕蟲散播,而即時掃瞄則能為使用者提供檔案系統層級的保護。
我們在此建議趨勢科技客戶下載最新的病毒碼,並開啟最新的趨勢科技產品中的 Web 信譽服務 (WRS)。此外,在您按下任何連結之前仍應提高警覺,尤其是不信任或非預期的來源傳來的連結。
另一方面,可能已遭這隻蠕蟲感染的使用者可採取以下步驟:
1. 使用趨勢科技防毒產品並搭配最新病毒碼掃瞄您的電腦,然後將被偵測為 WORM_SKIPI.A.的檔案全部刪除。其他使用者可使用趨勢科技的線上掃瞄工具 HouseCall。http://housecall.trendmicro.com/
2. 依據趨勢科技病毒百科全書的說明手動加以清除:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FSKIPI%2EA&VSect=Sn
|
