天极网 8月18日消息 8月16日,江民反病毒中心截获"挪威客"病毒的最新变种I-Worm/MyDoom.q。该病毒在被感染计算机上搜索电子邮件地址,并通过其自带的SMTP引擎发送大量带毒邮件。经过17日的跟踪监测,该病毒已经小规模爆发,目前江民已经接到数百名感染该病毒的用户上报。
该病毒运行后,建立垃圾信息文件Message,病毒程序文件名为winpsd.exe,同时病毒会调用记事本程序打开Message文件。病毒添加注册表启动项,以使自身随操作系统一起运行。
“挪威客”病毒Q还会自动执行另一个后门程序Backdoor/Surila.g,病毒会从指定的网站下载后缀为JPG或GIF格式的“图片”文件,并在用户本地磁盘上保存为winvpn32.exe,该文件即Backdoor/Surila.g后门程序。
病毒从所有可能包含电子邮件的文件中搜索电子邮件地址,利用其自带的SMTP引擎向搜索到的邮件地址发送病毒邮件,并会自动回避一些反病毒厂商和信息安全机构的地址。
邮件特征如下:
发信人:<伪造>
主题:Photos
正文:LOL!;))))
附件:photos_arc.exe,就是病毒体。
