近期多起有關(guān)某個(gè)挾帶惡意連結(jié)的垃圾郵件通報(bào)中顯示，該連結(jié)會(huì)下載WORM_MEYLME.B 蠕蟲。該蠕蟲有能力刪除一些系統(tǒng)上的安全服務(wù)，利用好幾個(gè)系統(tǒng)注冊(cè)表機(jī)碼來停用系統(tǒng)的安全警示與桌面安全提示。此外，還會(huì)下載一個(gè)后門程序BKDR_BIFROSE.SMU。由于此惡意軟件會(huì)偷偷將某些系統(tǒng)文件夾分享成共享文件夾，因此會(huì)讓系統(tǒng)門戶洞開。

　　這項(xiàng)攻擊還運(yùn)用了各種不同的垃圾郵件，其中一種是利用免費(fèi)的電影來吸引使用者，另一種則是假冒成一封求職信。上述兩種訊息都含有一個(gè)鏈接，一旦點(diǎn)選就會(huì)下載此蠕蟲程序。

　　此蠕蟲程序還會(huì)嘗試存取使用者的Yahoo! 實(shí)時(shí)通 檔案。WORM_MEYLME.B 蠕蟲有可能會(huì)搜集 Yahoo! 實(shí)時(shí)通 的賬號(hào)來散播自己。

　　另外一種郵件的主旨為：“Here you have”(這是你要的)，信件內(nèi)容則是告訴使用者該信隨附了之前所提到的一份PDF文件。用戶若將鼠標(biāo)光標(biāo)移到信件中所附的URL上方(hxxp://www.{BLOCKED}ocuments.com/library/PDF_Document21.025542010.pdf或hxxp://www.{BLOCKED}ovies.com/library/SEX21.025542010.wmv)，就可以發(fā)現(xiàn)其實(shí)該網(wǎng)址是指向：hxxp://{BLOCKED}s.multimania.co.uk/yahoophoto/PDF_Document21_025542010_pdf.scr，因此點(diǎn)選之后就會(huì)下載惡意軟件主體。

　　當(dāng)WORM_MEYLME.B執(zhí)行時(shí)，它會(huì)關(guān)閉防病毒軟件，并且使用MAPI郵件應(yīng)用程序協(xié)議接口來散發(fā)挾帶其程序復(fù)本鏈接的電子郵件。此外，它還會(huì)透過可卸除式磁盤驅(qū)動(dòng)器來散播 (例如USB隨身碟)。而且，該惡意軟件還會(huì)將感染計(jì)算機(jī)上的C:WindowsSystem目錄下的一些文件夾分享為Updates共享文件夾。當(dāng)此惡意軟件執(zhí)行時(shí)，會(huì)聯(lián)機(jī)至多個(gè)惡意網(wǎng)站。

　　經(jīng)過深入研究之后，我們發(fā)現(xiàn)此攻擊所用的惡意軟件只是一個(gè)我們已知的惡意軟件 (WORM_AUTORUN.NAD) 的解壓縮版本。很可能這次攻擊幕后的網(wǎng)絡(luò)犯罪者拿到了 WORM_AUTORUN.NAD 程序的原始碼，然后根據(jù)自己的用途而加以修改。

　　建議用戶在開啟任何來歷不明的電子郵件或點(diǎn)選任何連結(jié)之前都要特別小心謹(jǐn)慎。

    （編輯：Jesse）