天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

“快捷方式蠕虫”感染三十万网民

2010-7-20天空软件佚名
p>

  7月20日,瑞星公司向网民发出警告,一个名为“快捷方式蠕虫”的病毒在快速传播,截至目前已有超过30万网民被感染,瑞星云安全系统已经截获该病毒的180多个变种,并以每天数十个变种的速度疯狂增加。

  瑞星安全专家表示,该病毒的厉害之处在于,它利用了微软爆出的最新0day漏洞,中毒电脑会自动往U盘、移动硬盘、手机等设备中写入两个病毒文件:WTR12341.Tmp(数字随机变化)和名为Copyofshortcutto的快捷方式病毒。当这些带毒U盘拿到别的电脑用的时候,用户只要插入U盘并浏览,病毒就会自动运行,再次感染,所谓“一看U盘就中毒”。

  

  (红圈标明的就是U盘中的带毒文件,这样的U盘用户一看就会中毒)

  据瑞星反病毒部门分析,由于该病毒盗用了著名声卡厂商realtek的数字签名,很多主流杀毒软件会将其当作正常软件而放过,从而间接导致了该病毒的泛滥。针对该病毒,瑞星杀毒软件自带超强“木马行为防御”,无需升级即可全面拦截“快捷方式蠕虫病毒”的未知变种。

  

  病毒进入用户电脑后,会在系统的system32目录下创建WINSTA.EXE,然后启动%System32%lsass.exe并将恶意代码注入该进程,然后通过lsass.exe释放驱动程序mrxcls.sys和mrxnet.sys到系统驱动目录,并且其释放的两个驱动程序都盗用了realtec的数字签名。

  病毒驱动加载后,会Hook系统内核模块。病毒还会枚举用户的可移动设备,并创建一个.lnk文件,该文件利用微软的.lnk文件漏洞,用户在通过资源管理器查看包含病毒lnk文件的目录时,病毒即会运行。

  据悉,瑞星云安全系统最早截获该样本的时间为2010-7-822:05分,并且均已在第一时间由云安全系统自动分析入库。截止发稿时止,瑞星云安全系统已经截获了该病毒的180多个样本。

  针对“快捷方式蠕虫”病毒,瑞星提醒广网民应采取以下措施:

  禁用可移动存储设备的自动播放功能;

  在插入U盘等可移动存储的设备时候,先右键调用杀毒软件杀毒,再打开查看文件;

  安装瑞星杀毒软件(http://www.ikaka.com/2010/down.asp?t=ravd&action=1471771),升级到最新版本,即可彻底查杀该病毒的所有已知变种。并强烈建议开启“木马行为防御”功能,该功能采用动态分析技术,可以全面拦截该病毒的未知变种。

本文来源:天空软件 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行