病毒警報：WORM_CHOD.B偽裝退信偷MSN密碼

來  源：賽迪網
近日，一封假裝微軟及兩大知名防毒廠商所發警告信的病毒，開始在網上流傳，該信以「Your computer may have been infected」（你的電腦中毒了）或「Warning - you have been infected!」（警告-你中毒了！）的標題，誘騙受害者點擊4種事先偽裝的附件，其中還有兩個看似NetSky解毒程序。

據安全廠商趨勢科技的監測表明，此郵件通常包含以下附件：netsky_removal.exe、removal_tool.exe、message.pif及message.scr，內含病毒WORM_CHOD.B。該病毒盜取MSN等IM(Instant Message，即時通信)軟件密碼、拆除防火牆、反間諜軟件各項系統安全警報系統，同時還會使用eMail和MSN廣泛散播。

以往多數病毒信都會佯稱「這封郵件已經通過XX防毒軟件病毒檢測」的信息，誘騙用戶點擊附件，但WORM_CHOD.B病毒此次卻採用了完全相反的作法，假裝寄出的信件因為含有病毒而遭退信，信件內容仿冒系統管理者的口吻敘述退信原因。該病毒會假冒發信來源為security@microsoft.com或securityresponse@symantec.com、security@trendmicro.com，一般使用者一不留意就會上當，因此執行病毒解毒程序前，最好與原廠商確認是否屬實。

同時，該病毒還會在MSN上發送包含10組不同信息與文件名稱的隨機組合，其中不乏「naked lesbian twister」性暗示文件名，及充滿催促的信息「haha you have to see this,I almost couldn't believe it! :O」。一旦使用者點擊，病毒將拆除系統的警報系統，之後還可遠程取得系統控制權，任由它關閉或重啟系統、下載檔案及竊取使用者機密資料。

WORM_CHOD.B的主要破壞行為有：

1.修改HOSTS檔案，讓受害者無法進入59個防毒與安全相關網站，其中包含微軟與反間諜軟件等安全組織；

2.關閉多項安全服務，包含防火牆、微軟反間諜軟件，避免被偵測；

3.植入後門，遠程執行惡意指令，包含發動DoS阻斷服務攻擊與信息竊取；

4.病毒含密碼猜測工具，可竊取9種涵蓋多種版本的IM軟件密碼，包含AOL Instant Messenger(先前版本)、AOL Instant Messenger/Netscape 7、GAIM、ICQ Lite 4.x/2003、Miranda、MSN Messenger、Trillian、Windows Messenger(on Windows XP)、Yahoo Messenger(Versions 5.x and 6.x)。

值得特別注意的是，WORM_CHOD.B是一種幾乎鎖定所有IM軟件密碼的病毒，通過目前傳送最快的兩項工具Mail和MSN進行繁衍並大肆蔓延，因此不僅是MSN用戶需要提防，ICQ、Yahoo Messenger、AIM等使用者都要謹防其變種。