大家在使用聊天工具的时候可能碰到过这种情况—消息框中有时会跳出一条自动发送的消息,俗称消息“尾巴”。这种消息的内容一般看起来同消息接受者很相关,比如告诉您某网站有您的照片,或者您的好友给您发送了一个有意思的邀请等。消息的最后通常还会提示用户点击一个网址进行访问。有的用户因为好奇而点击这些链接,并按照指令执行一些额外的步骤。然而,这类自动消息通常都可能给用户带来潜在的安全威胁。近期,赛门铁克安全响应中心就发现一个通过即时聊天工具传播的蠕虫—W32.Mibling。
W32.Mibling蠕虫利用Word图标伪装在计算机中。用户见到该图标后,以为是普通的Word文件,因此点击时不会怀疑文件的可靠性。W32.Mibling蠕虫运行后会打开一个Word文档以掩盖它的其它行为,比如将自身拷贝到Adobe和Microsoft Office的安装目录下,并将文件名伪装为类似正常应用程序的名字,令用户不易察觉。另外,该蠕虫还会修改注册表键值已达到以下目的:
另外,W32.Mibling蠕虫会在受感染计算机中运行后门程序,等待从IRC通道过来的恶意连接。
W32.Mibling主要通过即时消息发送恶意链接。用户打开这些URL时,W32.Mibling蠕虫就会自动从网上下载至计算机中,十分危险。目前受该蠕虫影响的即时聊天工具有GoogleTalk和Digsby。因此,用户一定要记得辨认即时消息的真伪和安全性,遇到没有把握或者奇怪的消息时不妨同消息发送者核实一下内容的可靠性,不要被花哨的内容麻痹而“中招”。