（9）小心来历不明的信件

　　平时难免会收到很多的信；例如贺卡、广告信等，病毒信件也可能夹带其中，若您收到信件主题是 “HI”、”How are You” 等基本问候，而信件内容是简短的讯息，即使发件人是您熟知的朋友或同事都必须要特别小心。因为很有可能是他们中毒了，将病毒邮件在不知道的情况下发送了您。

　　逐个认识IE病毒

　　从尼姆达病毒开始，新病毒广泛的利于了IE的Ifarme漏洞在用户预览或打开信件的时候自动运行，这种入侵方式大大的降低了用户中毒的门槛，使得病毒传播速度大大加快。之前广泛传播的爱虫和Sircam，只是利用社交工程诱使用户点击运行病毒，分别用了一个月和两周的时间才传播到全球范围，而尼姆达和求职信病毒只用了三天和几个小时的时间就达到同样的效果，不能不说IE的Ifarme漏洞在这其中“居功至伟”，这类利用IE漏洞的病毒从去年到今年层出不穷，给我们平时的上网生活与工作带来诸多危险，让我们现在就来逐个认识此类病毒，为防范新病毒做好准备。

　　2001年09月18日“尼姆达” 变种家族nimda-nimda.e 被发现，第一个利用IE的Ifarme漏洞的病毒

　　2001年10月30日 变种Nimda.E 出现有史以来传播方式最多的病毒。

　　病毒特征：只要一预览邮件立刻中毒，同时读取用户信件，取出SMTP地址、邮箱地址，利用这些地址将带有蠕虫病毒信件对外发送，而且在局域网内传播。该病毒还能通过“即时聊天”以及“FTP程序”传播具有极高的传染性。它利用微软的Unicode漏洞采用类似“CodeBlue”蠕虫的攻击方式对外随机攻击网站。

　　“求职信”变种家族Wantjob(Klez.a-Klez.H)

　　2001年10月26日 Klez.A

　　2002年1月23日 Klez.F

　　2002年4月16日 Klez.k，Klezh

　　有史以来传播最广泛的病毒。

　　病毒特征：通过隐藏在邮件附件中进行传播，是用Visual C++编写的Windows PE EXE文件.除了通过电子邮件及本地局域网传播外，它还会在临时文件夹中创建一个Windows EXE文件，文件名以K开头，如KB180.exe，然后将Win32.Klez病毒写入此文件内。

　　利用的是IE的Iframe漏洞，预览后即会中毒。病毒会利用SMTP协议向外发送病毒邮件，邮件主题从病毒体的列表中随机选取一个：同时会向网络邻居的共享可写目录中写入病毒文件进行传播。

　　每逢偶数月的第13日，该蠕虫会自动运行，且覆盖被感染机器可用磁盘的所有文件，文件被覆盖后无法恢复，只有从备份中才能重新得到。

　　2001年10月25日 出现 “本.拉登” win32. BINLADEN

　　通过搜索ICQ网站来取得邮件地址，使用匿名的方式采用SMTP协议发送带毒邮件。该病毒利用了IFRAME漏洞。当我们预览含有病毒邮件时，病毒邮件体内脚本w代码在将被执行，如果计算机上所使用的Outlook浏览器存在该漏洞，计算机将被感染。

　　邮件带有一份名为BINLADEN_BRASIL.EXE的附件，该病毒的附件实际上是一个可执行的文件，但是该蠕虫设置成audio/x-wav的文件类型，因此当Outlook在收到该信件后，若Outlook存在漏洞的话，Outlook会认为该附件是一个声音文件而直接执行它
“挨立滋”病毒Worm.Alizee

　　2001年11月22日 Alizee病毒被发现，利用IE的IFRAME漏洞来进行侵入和传播。 Alizee病毒通过电子邮件散布，其主题不固定，附件名为“whatever.exe”，它在人们预览邮件、甚至还没有正式开启时，就会通过IE的漏洞自动运行来感染系统。

　　感染后的系统会利用IE通讯簿，向外发送带毒邮件，会成企业邮件服务器堵塞。其危害手法实际上已经过时，但没有更新IE的用户，或者是没有下载最新病毒代码的用户仍可能感染这种病毒。

　　2001年11月27日“坏透了”Worm.Badtrans 被发现

　　利用IE的IFRAME漏洞来进行侵入和传播， 即使不点击其中的附件，Badtrans病毒就会自动执行 ，这种感染方式与其他许多大量发送电子邮件的病毒相似。Badtrans.B Badtrans.B病毒把自己伪装成回复的邮件，具有更高的欺骗性。它还在被感染的计算机系统上安装特 洛伊木马程序，使攻击者能够访问被感染的计算机系统，并将被感染系统的IP地址发给病毒的作者。