“快捷方式蠕蟲”病毒泛濫 已感染30萬網(wǎng)民
7月20日消息����,瑞星公司今日向網(wǎng)民發(fā)出預(yù)警���,一個名為“快捷方式蠕蟲”的病毒在快速傳播���,截至目前已有超過30萬網(wǎng)民被感染,瑞星云安全系統(tǒng)已經(jīng)截獲該病毒的180多個變種����,并以每天數(shù)十個變種的速度瘋狂增加。
瑞星安全專家表示���,該病毒的厲害之處在于�����,它利用了微軟爆出的最新0day漏洞���,中毒電腦會自動往U盤、移動硬盤���、手機等設(shè)備中寫入兩個病毒文件:WTR12341.Tmp(數(shù)字隨機變化)和名為Copy of shortcut to的快捷方式病毒�����。當(dāng)這些帶毒U盤拿到別的電腦用的時候����,用戶只要插入U盤并瀏覽,病毒就會自動運行����,再次感染,所謂“一看U盤就中毒”�。
(紅圈標(biāo)明的就是U盤中的帶毒文件,這樣的U盤用戶一看就會中毒)
據(jù)分析���,由于該病毒盜用了著名聲卡廠商realtek的數(shù)字簽名��,很多主流殺毒軟件會將其當(dāng)作正常軟件而放過����,從而間接導(dǎo)致了該病毒的泛濫���。針對該病毒���,瑞星殺毒軟件自帶超強“木馬行為防御”���,無需升級即可全面攔截“快捷方式蠕蟲病毒”的未知變種。
病毒進(jìn)入用戶電腦后���,會在系統(tǒng)的system32目錄下創(chuàng)建WINSTA.EXE���,然后啟動 %System32%\lsass.exe并將惡意代碼注入該進(jìn)程��,然后通過lsass.exe釋放驅(qū)動程序mrxcls.sys和mrxnet.sys到系統(tǒng)驅(qū)動目錄���,并且其釋放的兩個驅(qū)動程序都盜用了realtec的數(shù)字簽名���。
病毒驅(qū)動加載后,會Hook系統(tǒng)內(nèi)核模塊���。病毒還會枚舉用戶的可移動設(shè)備�,并創(chuàng)建一個.lnk文件����,該文件利用微軟的.lnk文件漏洞,用戶在通過資源管理器查看包含病毒lnk文件的目錄時���,病毒即會運行���。
據(jù)悉��,瑞星云安全系統(tǒng)最早截獲該樣本的時間為2010-7-8 22:05分��,并且均已在第一時間由云安全系統(tǒng)自動分析入庫�����。截止發(fā)稿時止����,瑞星云安全系統(tǒng)已經(jīng)截獲了該病毒的180多個樣本����。
針對“快捷方式蠕蟲”病毒,瑞星提醒廣網(wǎng)民應(yīng)采取以下措施:
1.禁用可移動存儲設(shè)備的自動播放功能�;
2.在插入U盤等可移動存儲的設(shè)備時候,先右鍵調(diào)用殺毒軟件殺毒��,再打開查看文件����;
3.安裝瑞星殺毒軟件�����,升級到最新版本�,即可徹底查殺該病毒的所有已知變種����。并強烈建議開啟“木馬行為防御”功能,該功能采用動態(tài)分析技術(shù)�,可以全面攔截該病毒的未知變種。
