近几年恶意程序的传播越来越多地开始使用社交工程技术手段。例如,通过社交网络(SNS)或即时通讯工具发送恶意链接,诱使受害用户访问恶意网站。这种基于好友信任关系的传播手段,比普通传播手段更为有效。
卡巴斯基实验室最近新截获到一款名为IM-Worm Win32 VB ln的蠕虫程序,能够利用即时通讯工具进行传播。该蠕虫以文件夹图标做伪装迷惑用户,运行后会将自身拷贝到计算机中多个位置,并创建修改某些注册表启动项使之能够随系统启动而自动启动。创建进程运行C:\WINDOWS\SVIQ.EXE、C:\WINDOWS\system\Fun.exe和C:\WINDOWS\dc.exe。这些进程彼此之间会进行保护,如果其中某个进程被杀掉,另外的进程会重新启动它。它还会检查用户进程中是否有Yahoo Messenger。如果有,则向其中所有在线用户发送欺骗消息和链接,诱骗其他人下载此蠕虫。另外,该蠕虫还可能下载其它恶意程序到受感染计算机。
目前,卡巴斯基所有产品均可以对该蠕虫进行查杀。用户只需保持反病毒数据库更新即可有效拦截此恶意程序。卡巴斯基实验室同时提醒广大网友,对于来源不明的文件或链接,一定不要轻易打开或点击,以免感染恶意程序造成损失。