【IT168 报道】一封假装微软及两大知名防毒厂商所发的警告信，近日开始流传，该信以「你的计算机中毒了」（Your computer may have been infected）或「警告-你中毒了！」（Warning - you have been infected!）的标题，诱骗受害者点击 4 种事先伪装的附件，其中还有两个看似 NetSky 解毒程序，网络安全专家趋势科技提醒使用者切勿执行以下附件：netsky_removal.exe 、removal_tool.exe、message.pif、message.scr，因为该封病毒警告信，内含病毒WORM_CHOD.B，该病毒还会同时使用 eMail 和 MSN 散播 。趋势科技表示该病毒会假冒发信来源为 security@microsoft.com 或 securityresponse@symantec.com、security@trendmicro.com，一般使用者一不留意就会上当，因此执行病毒解毒程序前，最好与原厂商确认是否属实。

    利用 email 和 MSN散播，攻击火力加倍

    趋势科技病毒数据库中，有不少病毒信佯称”这封邮件已经通过 XX 防毒软件病毒检测”的信息，让使用者不疑有他的点击附件，但 WORM_CHOD.B 病毒却采用了完全相反的作法，假装寄出的信件因为含有病毒而遭退信，信件内容仿冒系统管理者的口吻叙述退信原因。技高一筹的是，该病毒还会同时以 MSN 双管齐下传播，包含 10 组不同信息与文件名称的随机组合，其中更不乏” naked lesbian twister”性暗示的档名，及充满催促的信息” haha you have to see this, I almost couldn''t believe it! :O “。趋势科技 TrendLabs表示：“种种迹象显示，WORM_CHOD.B 极有可能是黑客用来窃取使用者机密资料的工具，这只病毒先以”社交工程”技巧，让使用者自行点击病毒附件，再有计划地避免触动安全装置，宛若一步一步拆除系统的警报系统般，之后还可远程取得系统控制权，任由它关闭或重启系统、下载档案，让人担心的是它利用了目前传送最快的两项工具Mail 和MSN进行繁衍。”

    拆除防火墙、反间谍软件各项系统安全警报系统

    以下为WORM_CHOD.B 的主要破坏行为：

    1.修改 HOSTS 档案，让受害者无法进入 59 个防毒与安全相关网站，其中包含微软与反间谍软件等安全组织。

    2.关闭多项安全服务，包含防火墙、微软反间谍软件，避免被侦测

    3.植入后门，远程执行恶意指令，包含发动 DoS 阻断服务攻击与信息窃取

    4.病毒含密码猜测工具，可窃取 9 种涵盖多种版本的 IM 实时通讯软件密码，包含AOL Instant Messenger (先前版本) 、AOL Instant Messenger/Netscape 7 、GAIM 、ICQ Lite 4.x/2003 、Miranda 、MSN Messenger 、Trillian、Windows Messenger (on Windows XP)、Yahoo Messenger (Versions 5.x and 6.x) 。
 
    谨防即时通讯被假冒上线，预防变种利用 MSN 以外即时通讯软件散播

    趋势科技 TrendLabs呼吁：“近日 IM 蠕虫如雨后春笋涌出，各项威胁手法不断翻新， WORM_CHOD.B几乎锁定所有 IM 软件密码的病毒，极有可能利用 IM 即时通讯软件大肆进行冒名顶替的诈骗行动，例如假借使用者名义利用其.Net Passport从事网络行为，或冒名散播病毒档案，更可能假借名义在传讯过程中盗取信息。因此不仅是 MSN用户该提防， ICQ、Yahoo Messenger、AIM ….使用者，都得谨防其变种以各项 IM 软件，作为大肆蔓延工具。」