[转译] 20100910 - 2，新近出现的恶意软件：Visal.B

《本文转译自 Microsoft Malware Protection Center 博客文章“ Emerging Malware Issue: Vosal.B “》

Worm:Win32/Visal.B 是一种使用 Visual Basic 语言编写的新型蠕虫，目前一部分已借助社会工程学进行传播。我们强烈建议用户谨慎点击邮件中的可疑链接，或者不期而至的链接，即使您认识邮件的发件人。受 Visal.B 感染很可能是因为您不小心。

该蠕虫的时间戳标记为9/3/2010，使用两种方式进行传播：其一，群发邮件；其二，将自身拷贝至本地驱动器（C: 和 H:）和网络共享。该蠕虫能够自我复制到本地系统的多个驱动器，并自带 autorun.inf 文件。而后向在受感染系统中找到的联系人发送电子邮件，传播自身。

Visal.B利用邮件应用程序接口 (MAPI) 向受感染系统中找到的所有联系人群发邮件。在企业环境下，地址薄中可能包含大量的联系人信息。随着企业网络中被感染的计算机数量增多，局域网内由该蠕虫引发的邮件也相应增多，导致邮件服务器性能下降。另外，该蠕虫还利用内置的 SMTP/ESMTP（邮件传输）引擎发送已感染系统的信息给攻击者，特别是 IP 地址和系统信息。

该蠕虫群发的邮件中包含看似指向 .pdf 文件或 .wmv 视频的链接，但事实上该链接指向恶意的 .scr 文件。垃圾邮件的内容已出现不同的措辞，例如：

1.

Subject: hi

Hello:

This is The Free Dowload Sex Movies,you can find it Here.

hxxp://malicious-link-omitted/library/SEX21.025542010.wmv Enjoy Your Time.

Cheers,

2.

Subject: Just for you

Hello:

This is The Document I told you about,you can find it Here.
hxxp://malicious-link-omitted/library/PDF_Document21.025542010.pdf

Please check it and reply as soon as possible.

Cheers,

3.

Subject: Here you have

Hello:

This is The Document I told you about,you can find it Here. hxxp://malicious-link-omitted/library/PDF_Document21.025542010.pdf Please check it and reply as soon as possible. Cheers,

在我们的恶意软件百科全书 (malware encyclopedia) 中可以了解到更多关于 Visal.B 的信息。如果您怀疑已被感染，我们建议您安装可信厂商提供的杀毒软件（如 Microsoft Security Essentials），或者更新现有的杀毒软件并进行计算机扫描。其它信息请参考：www.microsoft.com/protect。获取更多帮助，请访问 Consumer Security Support Center。

感谢 Rodel Finones 对这个蠕虫快速细致的分析。

 

Tareq Saade & Lena Lin

请注意： 如果您从 MMPC其它备用下载点下载了测试版的病毒签名，该蠕虫可能被检测为 Worm:Win32/VB.WF。