病毒进入用户电脑后,会在系统的system32目录下创建winsta.exe,然后启动 %system32%\lsass.exe并将恶意代码注入该进程,然后通过lsass.exe释放驱动程序mrxcls.sys和mrxnet.sys到系统驱动目录,并且其释放的两个驱动程序都盗用了realtec的数字签名。
病毒驱动加载后,会hook系统内核模块。病毒还会枚举用户的可移动设备,并创建一个.lnk文件,该文件利用微软的.lnk文件漏洞,用户在通过资源管理器查看包含病毒lnk文件的目录时,病毒即会运行。
瑞星云安全系统最早截获该样本的时间为2010-7-8 22:05分,并且均已在第一时间由云安全系统自动分析入库。截止发稿时止,瑞星云安全系统已经截获了该病毒的180多个样本。
针对“快捷方式蠕虫”病毒,提醒广网民应采取以下措施:
1.禁用可移动存储设备的自动播放功能;
2.在插入u盘等可移动存储的设备时候,先右键调用杀毒软件杀毒,再打开查看文件。一个名为“快捷方式蠕虫”的病毒在快速传播,截至目前已有超过30万网民被感染,该病毒变种已经达180个之多,并以每天数十个变种的速度疯狂增加。
安全专家表示,该病毒的厉害之处在于,它利用了微软爆出的最新0day漏洞,中毒电脑会自动往u盘、移动硬盘、手机等设备中写入两个病毒文件:wtr12341.tmp(数字随机变化)和名为copy of shortcut to的快捷方式病毒。当这些带毒u盘拿到别的电脑用的时候,用户只要插入u盘并浏览,病毒就会自动运行,再次感染,所谓“一看u盘就中毒”。
该病毒盗用了著名声卡厂商realtek的数字签名,很多主流杀毒软件会将其当作正常软件而放过,从而间接导致了该病毒的泛滥。
