国家计算机病毒应急处理中心通过对互联网的监测发现,利用Microsoft Windows快捷方式LNK文件“零日”漏洞进行传播的蠕虫(Worm_Temphid)出现在互联网络中。恶意攻击者利用该“零日”漏洞中Windows操作系统解析快捷方式LNK文件时的一个错误进行攻击,并且蠕虫主要通过移动存储设备(如:U盘等)进行传播。一旦计算机用户访问点击恶意攻击者构造的指定快捷方式的目录时,其包含的恶意代码就会被执行,导致操作系统被入侵感染。
蠕虫运行后,会释放一些快捷方式文件,并将其自身拷贝至与操作系统相连的移动存储设备中。无论操作系统中的自动播放功能是否打开,只要计算机用户点击打开移动存储设备,该蠕虫就会入侵感染操作系统。蠕虫还会终止操作系统中防病毒软件的进程,利用特殊技术隐藏自己释放出的、或拷贝到移动存储设备中的快捷方式文件等,使计算机用户无法察觉蠕虫的存在。
另外,该蠕虫会嵌入到操作系统内核模块中。蠕虫还会枚举计算机用户操作系统连接的可移动存储设备,并创建一个扩展名为.lnk文件,该文件利用了微软的LNK文件“零日”漏洞。如果计算机用户通过资源管理器查看包含恶意代码的lnk文件目录时,该蠕虫就会被自动运行。
专家提醒:
针对上述情况,我们建议广大计算机用户采用如下方法防范:
(一)针对已经感染该蠕虫的计算机用户,我们建议立即升级系统中的防病毒软件,进行全面杀毒。
(二)针对未感染该蠕虫的计算机用户,我们建议打开系统中防病毒软件的“系统监控”功能,从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御,这样可以第一时间监控未知病毒的入侵活动,达到全方位保护计算机系统安全的目的。