近期赛门铁克安全回应中心发现一种名為W32.Gosys的蠕虫,它会从被感染的电脑上窃取使用者机密资讯并将其发送到指定邮寄地址。另外还有一种透过即时通讯工具Skype传播的W32.Pykspa.E蠕虫,其主要危害在於会窃取使用者机密资讯,并将窃取到的资讯发送到攻击者手中。
W32.Gosys首先会从指定网址远程下载被加密的设定档,随后将自身备份到多个系统目录使其难以被防毒软体完全清除,并且修改登录表 (registry key)达到自行啟动的目的。运作时,W32.Gosys会监控Internet Explorer及Mozilla Firefox进程中包含某些特定字串的视窗,窃听使用者的按键记录,以窃取使用者机密资讯。然后该蠕虫会将窃取到的资讯发送到指定的电子邮寄地址。
蠕虫W32.Gosys透过网路共用及USB行动储存装置传播。它会修改登录表来自动啟用USB行动储存装置并关闭其防写,以便将自身复製到USB行动储存装置中进行传播。
另外一种W32.Pykspa.E蠕虫会将自身复製到%SYSTEM%\、%TEMP%\目录下,重新随机命名為其它的.exe档,以达到隐藏自身的目的。它也会修改登录表来实现开机自动啟动、阻止使用者查看系统隐藏档、打开系统的自动播放功能、阻止系统从安全模式或者通过网路啟动,以及关闭系统的自动更新提醒以及Windows防毒软体与防火墙的安全提示,十分危险。
W32.Pykspa.E蠕虫病毒可以支援18种不同语言的作业系统平台,以达到其传播目的。传播时,该蠕虫会尝试向Skype使用者发送一些模稜两可的打招呼的消息,使对方放鬆警戒;同时它会向这些联络人发送指向该蠕虫复製的URL位址,欺骗对方下载并执行该蠕虫。
為防范以上病毒,赛门铁克专家除建议网友使用防毒软体、更新病毒码,也建议网友在使用行动储存装置时,先使用防毒软体扫描,确认安全后再打开;使用后,最好断开电脑与行动储存装置的接头,如非必要,儘量不要使用电脑的网路共用功能。另外也建议使用者不要轻易点击来自於即时讯息的URL连结。
