對微軟今日發佈的「MS08-067伺服器服務中的弱點可能允許遠端程式碼執行重大弱點」修正程式通知,目前已經出現了第一隻針對該弱點攻擊用戶端的木馬間諜程式 TSPY_GIMMIV.A,並藉由9個網站散播。該惡意程式會竊取使用者帳號密碼、系統資訊,並可能造成相關資安程式無法執行。
趨勢科技資深技術顧問戴燊表示,由於該病毒會自動連上其他網站下載惡意程式,甚至將竊取的機密加密後回傳至特定網址,這些不正常的下載和上傳動作,會造成連線速度變慢或是重新開機等現象。因此呼籲使用者若有發現上述情形,極有可能已經中毒,請即刻執行下列建議事項:
1.儘速更新MS08-067
2.趨勢科技用戶,請更新至最新病毒碼5.615.00,以及啟用WRS網頁信譽評等以攔截惡意網址
3.非趨勢科技用戶,請使用WTP Add-On(Web Threat Protection)免費防禦工具, http://www.trendmicro.com.tw/wtp/
TSPY_GIMMIV.A 的相關惡意行為,能夠開機自動執行,病毒會修改機碼,以便每次開機皆可執行,還會自動下載惡意檔案,病毒會持續至數個網站下載惡意檔案,另外,病毒會竊取下列資訊,並加密回傳至特定網址,包括防毒軟體相關資訊、Outlook Express Credential Information、Protected Storage Information、系統資訊及個人帳號和密碼。並且使安全防護軟體無法運行,該病毒會搜尋並刪除機碼,造成相關資安程式或防毒軟體無法運行。