技术中心
 
 

病毒和蠕虫如何在电子邮件中传播?

   日期:2009-08-04     来源:互联网    
病毒和蠕虫如何在电子邮件中传播?

您可以在您的电子邮件信箱里发现各种东西。包含以下内容的电子邮件附件属于“破坏性”和/或“令人讨厌”的类别:

特洛伊木马 蠕虫 病毒 在许多情况下,电子邮件病毒并不是“真正”的病毒,因为如果没有人为干预,它们将无法复制。不过,它们在关闭主要的电子邮件系统方面一直非常成功。有关病毒的详细信息,请参阅计算机病毒知多少。

特洛伊木马一词取自于荷马史诗《伊利亚特》中看似无害实则具有破坏作用的同名攻城工具。该名称恰如其分,因为这种病毒在“朴实的包装”下秘密携带着通常具有破坏性的软件。“朴实的包装”通常是从您认识或不认识的人那里收到的电子邮件的附件。附件名称本身也可能非常容易让人产生误解。当您运行附件时,它可以做出从删除文件到更改桌面等各种各样的事情。然后,它会把自己发送给您的地址簿中列出的其他人,来进行自我传播。

下面两个例子可以帮助您了解电子邮件病毒的秘密。按照Symantec公司这一网页的说法:

    Worm.ExploreZip是包含恶意有效载荷的蠕虫。蠕虫利用Microsoft Outlook、Outlook Express和Exchange,通过回复用户收件箱中的未读邮件将自己发送出去。蠕虫还在映射驱动器和联网计算机中搜索安装了Windows的终端,并将自己复制到远程计算机的Windows目录从而修改WIN.INI文件。

    蠕虫的有效载荷能够破坏它每次执行时可以访问的硬盘驱动器、任何映射驱动器和任何网络计算机上扩展名为.h、.c、.cpp、.asm、.doc、.ppt或.xls的所有文件。这种情况将持续发生到蠕虫被删除为止。

    您可能会以附件形式收到名为zipped_files.exe的蠕虫,此时该蠕虫将自己伪装成常见的自解压zip文件。但是,一旦运行它,该可执行文件将以文件名Explore.exe把自己复制到Windows System目录下,或者以文件名_setup.exe复制到Windows目录下。该蠕虫会修改您的WIN.INI或注册表,以至于每次您启动Windows时都会执行文件Explore.exe。

    有关详细信息,请参阅此网页。

    Symantec提供了更多技术信息,并且介绍了当您怀疑系统中存在Worm.ExploreZip时需要采取的操作。

    在某些特殊情况下,电子邮件附件甚至无需您介入就可以自动执行。按照 Symantec公司这一网页的说法:

    VBS.BubbleBoy是一种在Windows98和Windows2000下运行的蠕虫。该蠕虫也可以在Windows95下运行(仅当安装Windows Scripting Host后)。它仅对英语版本和西班牙语版本的操作系统起作用,对WindowsNT不起作用。

    该蠕虫必须在使用Microsoft Outlook(或Express)和Internet Explorer 5时才能传播。

    该蠕虫利用Microsoft Outlook/IE5中的一个已知的安全漏洞,在用户查看电子邮件时插入脚本文件UPDATE.HTA。它无需分离和运行附件即可运行。

    UPDATE.HTA被放置在“开始”菜单的“所有程序”下的“启动”中。因此,在您下次启动计算机之前,传染例程不会执行。UPDATE.HTA是一个脚本文件,它使用MS Outlook将蠕虫电子邮件发送给MS Outlook地址簿中的所有人。通过修补Microsoft Outlook/IE5中的已知安全漏洞,可以防止该蠕虫传播。

    Microsoft提供了有关这种蠕虫的更多信息。

    请利用软件供应商的最新病毒签名保持您的病毒软件为最新版本,因为如果没有更新,防病毒软件将无法检测新病毒。如果您使用Norton AntiVirus软件,请确保启用了“自动防护”功能。目前的Norton AntiVirus软件会在您的病毒签名文件超过30天没更新时自动提醒您。Norton的LiveUpdate(在线更新)也可以自动执行更新。

    如果您认为由于某个电子邮件病毒将自身发送给您的地址簿中的用户而使您的PC感染了病毒,那么请给那些用户打电话,告诉他们不要打开邮件或附件——这是阻止病毒传播的唯一的有效方法。

 
  
  
  
  
 
更多>同类技术
 
全年征稿 / 资讯合作
 
推荐图文
推荐技术
可能喜欢