惡意攻擊者利用該漏洞中Windows操作系統(tǒng)解析快捷方式LNK文件時的一個錯誤進行攻擊,并且蠕蟲主要通過U盤等移動存儲設備進行傳播。一旦計算機用戶訪問點擊惡意攻擊者構(gòu)造的指定快捷方式的目錄時,其包含的惡意代碼就會被執(zhí)行,導致操作系統(tǒng)被入侵感染。
據(jù)介紹,這一蠕蟲運行后,會釋放一些快捷方式文件,并將其自身拷貝至與操作系統(tǒng)相連的移動存儲設備中。無論操作系統(tǒng)的自動播放功能是否打開,只要計算機用戶點擊打開移動存儲設備,該蠕蟲就會入侵感染操作系統(tǒng)。蠕蟲還會終止操作系統(tǒng)中防病毒軟件的進程,利用特殊技術(shù)隱藏自己釋放出的、或拷貝到移動存儲設備中的快捷方式文件等,使計算機用戶無法察覺蠕蟲的存在。
另外,該蠕蟲會嵌入到操作系統(tǒng)內(nèi)核模塊中。蠕蟲還會枚舉計算機用戶操作系統(tǒng)連接的可移動存儲設備,并創(chuàng)建一個擴展名為。lnk文件,該文件利用了微軟的LNK文件“零日”漏洞。如果計算機用戶通過資源管理器查看包含惡意代碼的lnk文件目錄時,該蠕蟲就會被自動運行。
對已經(jīng)感染該蠕蟲的計算機用戶,專家建議立即升級系統(tǒng)中的防病毒軟件,進行全面殺毒。對未感染的用戶建議打開系統(tǒng)中防病毒軟件的“系統(tǒng)監(jiān)控”功能,從注冊表、系統(tǒng)進程、內(nèi)存、網(wǎng)絡等多方面對各種操作進行主動防御。
