【IT168 资讯】自上周末起，“补丁骗子”开始席卷亚太区多家企业，包含日本、澳大利亚、中国、新加坡、韩国等皆传出多起感染案例，目前正有延烧全球的趋势。新病毒以罕见的MEW11等压缩格式，造成某些传统防毒软件光是扫到这个病毒需要花10秒以上解压缩，导致系统无法动弹。最让用户头痛的是，病毒具有自我更新能力，一旦受害者连上网络，即会从多个网站下载恶意程序，使得变种以极快的速度不断产生，而传统以病毒码更新来捕捉已知病毒的方式，却难以发挥立即杜绝扩散效果，使得系统在短时间内成为毒窟，企业网络陷入难以动弹的地步。

    病毒冒充微软补丁，一旦点击附件还会佯装安装成功，该病毒会导致整个系统，运行速度迅速变慢。企业的网络带宽被严重占用，甚至造成企业局域网络崩溃。目前绝大部分的变种都以MEW11 压缩，少部分采用UPACK 格式。病毒主要通过Email大量繁殖，但它并没有采用Microsoft Outlook 等一般人使用的应用程序发送信件，而是采用自己的 SMTP 引擎 ，这使得其行为更加隐秘，繁衍更迅速。当感染该病毒时，会在Windows文件夹下面产生 t2serv.dll、t2serv.exe ，此为 补丁骗子病毒的复本。

    病毒利用电子邮件散播，会自动发信给windows通讯录中的所有收件人，可能的主题与附件如下：

    主题：

    * Error
    * Good day
    * Mail Delivery System
    * Mail server report
    * Mail Transaction Failed
    * picture
    * Server Report
    * Status

    附件：
    *body.zip
    *data.msg.scr
    *docs.elm.exe
    *document.msg.exe
    *document.txt.pif
    *text.elm.exe
    *Update-KB1375-x86.exe
    *Update-KB1625-x86.exe
    *Update-KB250-x86.exe
    *Update-KB281-x86.exe
    *Update-KB4937-x86.zip
    *Update-KB531-x86.exe
    *Update-KB5687-x86.exe
    *Update-KB8093-x86.exe
    *Update-KB8656-x86.exe
    *Update-KB9046-x86.exe
    *Update-KB9062-x86.exe
    *Update-KB9125-x86.exe
    *Update-KB9859-x86.exe

    当感染此病毒后，此病毒会尝试连接下列网址，建议用户可用防火墙阻挡内部与这些网址的所有联机。

    http:// www3.vertionkdaseliplim.com
    http:// www2.vertionkdaseliplim.com
    http:// www4.vertionkdaseliplim.com
    http:// www6.vertionkdaseliplim.com