网络蠕虫是一种智能化和自动化的恶意程序,其综合了网络攻击、密码学和计算机病毒技术,用户干预或操作即可运行的攻击程序或代码。近日,卡巴斯基实验室检测到一种网络蠕虫,命名为Worm.Win32.Huhk。
这是一种感染可执行文件并能通过移动存储器和网络传播的蠕虫病毒。病毒运行后会首先将自身解密然后跳转到解密后的代码执行。之后病毒会调用sfc_os.dll的5号导出函数关闭系统对explorer.exe的保护并对explorer.exe进行感染。最后修复被感染文件的真正入口并转至被感染文件的入口执行此文件的真正功能。当被感染的explorer.exe运行时,病毒会分别创建线程挂钩CreateProcessW,感染移动存储器,获取系统进程列表感染相应的文件,感染Windows和System32目录下文件。此病毒还会挂钩connect函数来下载运行其他恶意程序。
蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞。而网络蠕虫一般都具有较强的潜伏能力,很多情况下用户难以察觉。卡巴斯基实验室提醒广大用户定期更新专业的安全解决方案,以免给自己和他人的计算机带来不必要的损失或麻烦。