“快捷方式蠕蟲(chóng)”病毒泛濫 已感染30萬(wàn)網(wǎng)民
7月20日消息�,瑞星公司今日向網(wǎng)民發(fā)出預(yù)警�����,一個(gè)名為“快捷方式蠕蟲(chóng)”的病毒在快速傳播��,截至目前已有超過(guò)30萬(wàn)網(wǎng)民被感染�����,瑞星云安全系統(tǒng)已經(jīng)截獲該病毒的180多個(gè)變種����,并以每天數(shù)十個(gè)變種的速度瘋狂增加。
瑞星安全專家表示���,該病毒的厲害之處在于�,它利用了微軟爆出的最新0day漏洞,中毒電腦會(huì)自動(dòng)往U盤(pán)���、移動(dòng)硬盤(pán)����、手機(jī)等設(shè)備中寫(xiě)入兩個(gè)病毒文件:WTR12341.Tmp(數(shù)字隨機(jī)變化)和名為Copy of shortcut to的快捷方式病毒����。當(dāng)這些帶毒U盤(pán)拿到別的電腦用的時(shí)候,用戶只要插入U(xiǎn)盤(pán)并瀏覽����,病毒就會(huì)自動(dòng)運(yùn)行,再次感染�����,所謂“一看U盤(pán)就中毒”�����。
(紅圈標(biāo)明的就是U盤(pán)中的帶毒文件��,這樣的U盤(pán)用戶一看就會(huì)中毒)
據(jù)分析��,由于該病毒盜用了著名聲卡廠商realtek的數(shù)字簽名,很多主流殺毒軟件會(huì)將其當(dāng)作正常軟件而放過(guò)����,從而間接導(dǎo)致了該病毒的泛濫。針對(duì)該病毒���,瑞星殺毒軟件自帶超強(qiáng)“木馬行為防御”�����,無(wú)需升級(jí)即可全面攔截“快捷方式蠕蟲(chóng)病毒”的未知變種。
病毒進(jìn)入用戶電腦后���,會(huì)在系統(tǒng)的system32目錄下創(chuàng)建WINSTA.EXE�����,然后啟動(dòng) %System32%\lsass.exe并將惡意代碼注入該進(jìn)程�,然后通過(guò)lsass.exe釋放驅(qū)動(dòng)程序mrxcls.sys和mrxnet.sys到系統(tǒng)驅(qū)動(dòng)目錄���,并且其釋放的兩個(gè)驅(qū)動(dòng)程序都盜用了realtec的數(shù)字簽名�。
病毒驅(qū)動(dòng)加載后��,會(huì)Hook系統(tǒng)內(nèi)核模塊。病毒還會(huì)枚舉用戶的可移動(dòng)設(shè)備��,并創(chuàng)建一個(gè).lnk文件���,該文件利用微軟的.lnk文件漏洞�����,用戶在通過(guò)資源管理器查看包含病毒lnk文件的目錄時(shí)��,病毒即會(huì)運(yùn)行����。
據(jù)悉�,瑞星云安全系統(tǒng)最早截獲該樣本的時(shí)間為2010-7-8 22:05分,并且均已在第一時(shí)間由云安全系統(tǒng)自動(dòng)分析入庫(kù)��。截止發(fā)稿時(shí)止��,瑞星云安全系統(tǒng)已經(jīng)截獲了該病毒的180多個(gè)樣本�。
針對(duì)“快捷方式蠕蟲(chóng)”病毒,瑞星提醒廣網(wǎng)民應(yīng)采取以下措施:
1.禁用可移動(dòng)存儲(chǔ)設(shè)備的自動(dòng)播放功能��;
2.在插入U(xiǎn)盤(pán)等可移動(dòng)存儲(chǔ)的設(shè)備時(shí)候,先右鍵調(diào)用殺毒軟件殺毒�����,再打開(kāi)查看文件���;
3.安裝瑞星殺毒軟件��,升級(jí)到最新版本��,即可徹底查殺該病毒的所有已知變種�。并強(qiáng)烈建議開(kāi)啟“木馬行為防御”功能����,該功能采用動(dòng)態(tài)分析技術(shù),可以全面攔截該病毒的未知變種�����。
