传奇人物阿拉法特于11月11日在法国巴黎附近的贝尔西军医院逝世,他的真正死因正引起多方揣测。趋势科技全球防病毒研发暨技术支持中心 --TrendLabs于日前侦测到一个以“Latest News about Arafat!!(阿拉法特的最新消息!!)”为信件主题的病毒 ”Worm_Golten.A”,该病毒在内文里叙述“ Hello guys!Latest news about Arafat!Unimaginable!!!!! ”(嗨伙计们,最新的阿拉法特新闻!太不可思议了!)并分别附上两个.EMF格式附件,其中ARAFAT_1.EMF 文件名附件内果真含有阿拉法特葬礼图片(如图),这是病毒利用障眼法,让受害者没有防备心地开启第二个附件,一旦开启了ARAFAT_2.EMF 附件,病毒则会利用 Windows XP 的 Metafile 漏洞,钻入系统。趋势科技表示,目前Worm_Golten.A在亚洲大量散播,中国大陆,台湾地区、香港、韩国、日本都有感染报告。趋势科技表示该病毒还会利用文件分享自我繁殖,有极高的散播风险,值得密切注意。
趋势科技分析发现,该病毒虽然以电子邮件当诱饵,但它并没有利用电子邮件作为大量自动散播的工具,而是远程攻击者以手动方式发邮件给锁定的对象,并附上含有病毒的附件,该病毒附件采用微软于 10月12日公告的Graphics Rendering Engine安全漏洞(MS04-032) Security Update for Microsoft Windows (840987),一旦受害者开启信件所附的.EMF 文件,病毒即会复制到受害者系统中。这有可能是攻击者想通过用新漏洞来示范展示新的攻击战略。趋势科技表示Graphics Rendering Engine 漏洞,存在于绘制 .WMF 和 .EMF 影像文件的程序代码,可能会让攻击者从远程执行程序。只要是系统有这个漏洞,任何绘制这类影像的应用程序都可能会受到攻击。一旦攻击成功,攻击者就可以利用这个漏洞完全掌控系统。