《轉載》諾瓦(Novarg)病蟲已在蔓延中，請儘速檢查防範

壹. 摘要：
諾瓦(Novarg)病毒又稱過期病毒(Mimail-R)會偽以各種技術性的主旨及附件名稱，透過電子郵件四處散佈。當附件檔開啟時病蟲即被啟動，並搜尋中毒電腦的硬碟，以取得更多電子郵件地址，繼續向外傳佈。同時病毒也會在中毒的電腦上開啟後門，供駭客入侵。

貳. 影響系統：
Windows 98,Windows 95,Windows ME,Windows NT,Windows 2000,windows XP,2003

參. 檢查方法：
若您最近曾經收到信件主旨為下列其中一個：test, hi, hello, Mail Delivery System, Mail Transaction Failed, Server Report, Status, Error。並且有開啟信件的附檔，則可能已遭受病毒感染。您可以直接下載並執行下列賽門鐵克的免費掃毒軟體進行自我檢查：
http://securityresponse.symantec.com/avcenter/FxNovarg.exe

肆. 解決方法：
如果您的電腦受到此病蟲感染，可以依下列方式解決。
1.請下載賽門鐵克免費掃毒軟體：
http://securityresponse.symantec.com/avcenter/FxNovarg.exe

2.將檔案儲存在方便的位置，例如您的下載資料夾或 Windows 桌面 (或者，如果方便，請儲存在未受感染的可移除式媒體上)。

3.關閉所有正在執行的程式。

4.斷開與網路的連接。

5.如果您的電腦執行的是 Windows Me 或 XP，請關閉「系統還原」。關閉方式請參閱：
Windows ME請參考下列連結：
http://service1.symantec.com/SUPPORT/INT...020517101224932

Windows XP請參考下列連結：
http://service1.symantec.com/SUPPORT/INT...020517102945932
6.在 FxNovarg.exe 檔上按兩下滑鼠，即可啟動移除工具。

7.按下「開始」啟動程序，並允許工具執行。

8.重新啟動電腦。

9.再次執行移除工具，確保系統已清除乾淨。

10.如果您執行的是 Windows Me/XP，請重新啟用「系統還原」。

伍. 參考資訊：
趨勢科技(中文):
http://www.trendmicro.com/vinfo/zh-tw/vi...=WORM_MSBLAST.D

賽門鐵克(中文)：
http://securityresponse1.symantec.com/sa...ovarg.a@mm.html

《轉載》變種過期病毒新春肆虐

資訊安全廠商趨勢科技及賽門鐵克昨（二十七）日發布病毒警訊，一隻名為「過期病毒」（WORM_MIMAIL.R）變種病毒，正透過電子郵件在全球迅速擴散，目前已經在美國、日本有嚴重災情傳出，台灣也陸續有災情出現。

資訊安全業者賽門鐵克將一個名為諾瓦病蟲（W32.Novarg.A@mm）調升為四級警報的電子郵件，該郵件以「退件訊息」（例如Mail Transaction Failed），或是測試訊息（Test）為主旨 ，讓使用者開啟附件而中毒。

另一家資訊安全業者趨勢科技則表示，昨天造成電腦中毒的是「過期病毒」的變種，主要是利用人類行為的習慣性發出病毒攻擊。這隻病毒將信件主旨或內文偽裝成「退信」，或是一般收件常見的內容「Hi」、「Hello」、「Return mail」等來吸引網友開啟附件檔。

趨勢科技指出，這種病毒的行徑是近來相當熱門的「社會工程學」技術，即利用人類習慣來大肆攻擊。由於一般網友都很擔心重要的信件被退回，通常在疏於防範的情況下就執行ZIP壓縮檔。

一旦網友電腦中毒後，病毒會自動蒐集電腦通訊錄，並透過本身所附帶的發信引擎，自動發信給收件者，造成更大規模的擴散。

趨勢科技也提醒網友，由於該病毒會偽裝成ZIP壓縮檔，因此該病毒很容易藉由ZIP病毒檔的保護下，偷渡入侵公司內部的資訊。

值得注意的是，該病毒也會透過點對點軟體（Peer to Peer），自動複製病毒檔案在點對點傳輸軟體的目錄上，誘使網友下載，擴大感染對象。


相關病毒資訊如下：(轉載自賽門鐵克)
W32.Novarg.A@mm 是一種大量傳送郵件的病蟲。病蟲通常會以 .bat、.cmd、.exe、.pif、.scr 或是 .zip 的副檔名格式夾帶在信件中。

當電腦受到感染後，病蟲就會為自己在系統中開一個後門，方式是開啟 TCP 埠 3127 到 3198。這樣一來駭客就可能連線到此感染的電腦並以該電腦作為 Proxy 來取得網路上的其它資源。此外，後門還能夠下載並執行任意檔案。

該病蟲將於 2004 年 2 月 1 日開始執行拒絕服務攻擊 (DoS)，並於同年 2 月 12 日停止散佈。

受感染的電子郵件具有下列特徵：

發件人：可能會將位址加以偽裝
主旨：
下列之一：
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

內文：
下列之一：
Mail transaction failed.Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

附件：
下列之一：
document
readme
doc
text
file
data
test
message
body

--------------------------------------------------------------------------------
注意：
附檔可能有兩個副檔名。其副檔名之一如下：
.htm
.txt
.doc

病蟲總是會使用下面副檔名中的一個：
.pif
.scr
.exe
.cmd
.bat
.zip

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

《轉載》諾瓦(Novarg)病蟲各家命名

這個變種的過期病毒在命名上，不同軟體商給予的名稱也不相同；不過相同的是，此病毒的傳播速率相當驚人！

賽門鐵克命名如下：
諾瓦病毒，W32.Novarg.A@mm

趨勢科技命名如下：
過期病毒，WORM_MINAIL.R

組合國際電腦命名如下：
悲慘命運，Win32.Mydoom.A


這隻病毒的傳播速率非常快速，目前正在歐美迅速蔓延。
有趣的是，這隻電腦病毒不會政擊網域名稱為教育(edu)的電子郵件。

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

《注意》諾瓦(Novarg)病蟲已在蔓延中

過年放了八天假，第一天正常上班，順子就收到了這病毒信件。
內容如下：

主旨：hi
內容：The message contains Unicode characters and has been sent as a binary attachment.

附加檔為一個22.6KB大小的zip檔file.zip。


收到信的第一個直覺是“這一定是病毒信件”！
但看了內容，還真的想打開附加檔！

唉！這個病毒真糟糕，收信真的要小心喔∼∼

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!