6月13日消息 安全軟件銷售商賽門鐵克周一指出，一種利用雅虎電子郵件上存在的一個漏洞的群發郵件蠕蟲正在發動攻擊，但其危害看上去并不十分嚴重。

 　　據IDG News Service消息，賽門鐵克將該蠕蟲命名為JS.Yamanner@m。據賽門鐵克安全反應中心經理凱文·霍根(Kevin Hogan)稱，該蠕蟲與其它蠕蟲的不同之處在于，它只需要用戶打開電子郵件便可以運行。此前的群發電子郵件蠕蟲一般都隱藏在附件中，受到郵件正文里消息誘惑的用戶才會打開它。

 　　該蠕蟲使用JavaScript語言，它利用的漏洞允許內置在HTML電子郵件的腳本在用戶的瀏覽器上運行。

 　　賽門鐵克將該蠕蟲評級定為水平2，僅比危害性小的等級高一級。霍根說該蠕蟲看上去傳播并不是很廣泛，而且他不認為該蠕蟲的安全等級會提高。

 　　一旦被激活，這種蠕蟲會向受害者地址薄里帶有@yahoo.com或@yahoogroups.com后綴的其它用戶自我發送。霍根指出，該蠕蟲模仿了用戶電子郵件一個被稱為“Quickbuilder”功能，該功能允許用戶把接收到的電子郵件加入到聯系人列表之中。

 　　該蠕蟲收集到的電子郵件地址會被發送到一個遠程的服務器上。賽門鐵克指出，雅虎的Mail Beta看上去不受影響。

 　　該蠕蟲還會通過瀏覽器打開一個網頁，不過該網頁并沒包含有害內容。

 　　賽門鐵克建議用戶升級病毒和防火墻設置，并阻止來自av3@yahoo.com的任何郵件。

 　　雅虎官方目前沒有發表評論。

作者：云雀　摘自：賽迪網