“快捷方式蠕蟲(chóng)”病毒泛濫 已感染30萬(wàn)網(wǎng)民

騰訊科技訊（樂(lè )天）7月20日消息，瑞星公司今日向網(wǎng)民發(fā)出預警，一個(gè)名為“快捷方式蠕蟲(chóng)”的病毒在快速傳 播，截至目前已有超過(guò)30萬(wàn)網(wǎng)民被感染，瑞星云安全系統已經(jīng)截獲該病毒的180多個(gè)變種，并以每天數十個(gè)變種的速度瘋狂增加。

　　瑞星安全 專(zhuān)家表示，該病毒的厲害之處在于，它利用了微軟爆出的最新0day漏洞，中毒電腦會(huì )自動(dòng)往U盤(pán)、移動(dòng)硬盤(pán)、手機等設備中寫(xiě)入兩個(gè)病毒文 件：WTR12341.Tmp（數字隨機變化）和名為Copy of shortcut to的快捷方式病毒。當這些帶毒U盤(pán)拿到別的電腦用的時(shí)候，用戶(hù)只要插入U盤(pán)并瀏覽，病毒就會(huì )自動(dòng)運行，再次感染，所謂“一看U盤(pán)就中毒”。

                               
登錄/注冊后可看大圖

（紅圈標明的就是U盤(pán)中的帶毒文件，這樣的U盤(pán)用戶(hù)一看就會(huì )中毒）

　　據 分析，由于該病毒盜用了著(zhù)名聲卡廠(chǎng)商realtek的數字簽名，很多主流殺毒軟件會(huì )將其當作正常軟件而放過(guò)，從而間接導致了該病毒的泛濫。針對該病毒，瑞 星殺毒軟件自帶超強“木馬行為防御”，無(wú)需升級即可全面攔截“快捷方式蠕蟲(chóng)病毒”的未知變種。

　　病毒進(jìn)入用戶(hù)電腦后，會(huì )在系統的 system32目錄下創(chuàng )建WINSTA.EXE，然后啟動(dòng) %System32%lsass.exe并將惡意代碼注入該進(jìn)程，然后通過(guò)lsass.exe釋放驅動(dòng)程序mrxcls.sys和mrxnet.sys到 系統驅動(dòng)目錄，并且其釋放的兩個(gè)驅動(dòng)程序都盜用了realtec的數字簽名。

　　病毒驅動(dòng)加載后，會(huì )Hook系統內核模塊。病毒還會(huì )枚舉用 戶(hù)的可移動(dòng)設備，并創(chuàng )建一個(gè).lnk文件，該文件利用微軟的.lnk文件漏洞，用戶(hù)在通過(guò)資源管理器查看包含病毒lnk文件的目錄時(shí)，病毒即會(huì )運行。

　 　據悉，瑞星云安全系統最早截獲該樣本的時(shí)間為2010-7-8 22：05分，并且均已在第一時(shí)間由云安全系統自動(dòng)分析入庫。截止發(fā)稿時(shí)止，瑞星云安全系統已經(jīng)截獲了該病毒的180多個(gè)樣本。

　　針 對“快捷方式蠕蟲(chóng)”病毒，瑞星提醒廣網(wǎng)民應采取以下措施：

　　1.禁用可移動(dòng)存儲設備的自動(dòng)播放功能；

　 　2.在插入U盤(pán)等可移動(dòng)存儲的設備時(shí)候，先右鍵調用殺毒軟件殺毒，再打開(kāi)查看文件；

　　3.安裝瑞星殺毒軟件，升級到最新版本，即可徹底 查殺該病毒的所有已知變種。并強烈建議開(kāi)啟“木馬行為防御”功能，該功能采用動(dòng)態(tài)分析技術(shù)，可以全面攔截該病毒的未知變種。

有了這么詳細的提醒，我們的電腦就安全多了。

是啊，多謝樓主給我們提了個(gè)醒。讓我們更多的去注意U盤(pán)的病毒的傳播性。更有準備的去防范。

一看U盤(pán)就會(huì )中毒，這也太危險了，還是聽(tīng)樓主的，在插入U盤(pán)時(shí)先殺毒

這又是瑞星 自己弄得吧 真是佩服瑞星