一旦计算机被感染,病毒会寻找开放的邮件代理,并开始发送邮件来感染其它计算机。这一通过大量群发邮件方式传播的蠕虫病毒正在因特网上快速传播开来,在被感染的计算机上安装多个代码,然后通过rootkit来保护自己。 SonicWALL公司的统一威胁管理技术能够防止用户受到病毒、木马、蠕虫以及其它威胁和漏洞的危害。在去年12月30日,采用SonicWALL统一威胁管理技术的用户自动收到了对付Nuwar蠕虫病毒的特征签名更新。
这一Nuwar蠕虫变种通过电子邮件传播,大多数情况下标题栏都是“Happy New Year!”,包括的典型附件如下:“Greeting Card.exe”、“Greeting Postcard.exe”、“Postcard.exe”、 “greeting card.exe”、“greeting postcard.exe”或 “postcard.exe”。这些附件一旦被执行,蠕虫就会尝试中止正在运行的防病毒进程并在受感染的计算机系统中留下Tibs木马。随后,蠕虫会试图从远程站点下载更多恶意代码。
在传播时,蠕虫会利用自己的SMTP引擎向被感染计算机地址簿中发现的所有邮件地址都发送一份自身的拷贝。有时,蠕虫还会发送一个畸形可执行拷贝(例如包含一个不正确的可执行文件头),这样很容易被当作无害的垃圾邮件。
这一Nuwar蠕虫变种的样本在2006年12月29日首次被发现。12月30日,SonicWALL发布了旨在防护这一威胁的下列签名:
Gateway Anti-Virus Signatures
---------------
Nuwar.B (Worm)
Nuwar.C (Worm)
Intrusion Prevention Signatures
---------------
VIRUS Greeting Card.exe attachments 1 (SID: 1051)
VIRUS Greeting Card.exe attachments 2 (SID: 1052)
VIRUS Greeting Card.zip attachments 1 (SID: 1053)
VIRUS Greeting Card.zip attachments 2 (SID: 1054)