MSIL.Elasrofah木馬冒充微軟應用程式作怪

 諾頓病毒週報 

2010年8月16日

MSIL.Elasrofah木馬冒充微軟應用程式作怪

病毒名稱：MSIL.Elasrofah

病毒類型：木馬

受影響的作業系統：Windows 95/98/2000/Me/NT /XP/Vista, Window s Server 2003 

病毒分析：

MSIL.Elasrofah是賽門鐵克安全回應中心近期檢測到的一個木馬型病毒。該木馬病毒會冒充微軟應用程式以避免被使用者發現。

執行後，MSIL.Elasrofah 會將自己複製到Windows Startup目錄下，並重命名為Microsoft.exe來達到開機自動執行的目的。該病毒還會修改hosts檔，重新定向網頁，阻止使用者前往主流防毒軟體網站。

一旦被MSIL.Elasrofah感染，電腦將被開啟一個能與惡意網站 https://spacialclosure.biz/stat[REMOVED] 進行通信的後門。攻擊者可能利用該後門發送以下命令：1）Port掃描2）上傳、下載檔案；3）發送電子郵件；4）透過磁片傳播；5）透過IRC網路傳播；6）通過Microsoft即時通訊程式傳播；7）透過可寫入式CD傳播；8）監視網路傳輸；9）竊取用戶FTP、SMTP、TELNET、SSH、HTTP傳輸中的用戶名和密碼；10）實現DDoS攻擊；11）下載病毒更新。

諾頓安全專家建議：

1.      全新2010版諾頓安全軟體獨創、基於信譽評級的全球雲端鑑識技術，使用賽門鐵克的全球安全智慧型網路，即時對來自網路的應用程式進行判斷，協助使用者抵禦最新威脅。

2.      建議使用者不要輕易造訪可疑網站。瀏覽網頁前，可以使用「諾頓網頁安全」（）分析將要造訪網頁的安全性。

3.      及時更新安全軟體病毒定義檔以抵禦該病毒威脅。

4.      沒有安裝安全軟體的使用者可以造訪下載諾頓網路安全大師2010或諾頓防毒2010試用版對病毒進行掃毒。

5.      使用諾頓2006版本及之後產品的現有使用者，可以免費將產品升級至諾頓2010版本，升級網址。