U盤和移動硬盤等移動存儲媒介的普及,使得人們交換數據變得極為方便。但是,這些設備也成為惡意程序大肆傳播的載體。尤其大部分計算機系統默認都開啟了自動播放功能,一旦移動存儲設備連接到計算機,就會利用autorun.ini自動執行其中指定的程序,很容易造成感染。
卡巴斯基實驗室最近截獲到一款名為Worm Win32 AutoRuncqfh的蠕蟲,主要利用U盤等移動存儲設備進行傳播。此蠕蟲運行後會在system32下創建兩個目錄,並創建兩個副本分別拷貝至其中並 運行。這樣兩個蠕蟲進程會互相保護,以防被關閉。蠕蟲進程還會時刻監視自身文件是否被刪除,如被刪除則立即重新創建。此蠕蟲還會禁用顯示隱藏文件,並刪除安全模式注冊表項,使得Windows無法進入安全模式。還會映像劫持大量安全軟件進程使得安全軟件進程無法啟動。用戶很難手動將其徹底清除。蠕蟲還會檢查系統中的浏覽器,並向浏覽器的收藏夾中添加推廣用的網址URL文件,並定時訪問一些預設的網站。
目前,卡巴斯基所有產品均可以對該蠕蟲進行查殺。用戶只需保持反病毒數據庫更新即可有效攔截該惡意程序。卡巴斯基實驗室同時建議廣大網友,關閉 計算機系統的自動播放功能,避免惡意程序通過移動存儲設備入侵系統。同時,對於來源不明的文件,一定不要輕易打開,以免感染惡意程序造成損失。