Worm/AutoRun.lrl“U盘寄生虫”变种lrl是“U盘寄生虫”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“U盘寄生虫”变种lrl运行后,会在“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“*.dll”(文件名从netsvcs服务组中依次获取,一般从“6to4”开始),另外还会在临时文件夹下释放恶意驱动程序“SvcMain.sys”,用以结束各类安全软件的自我保护。利用注册表映像文件劫持,干扰各类安全软件的正常启动运行,从而降低了被感染系统的安全性。“U盘寄生虫”变种lrl释放的DLL文件在运行后,会连接骇客指定的URL“http://www.dy20*4.com/msn/mm.txt”,从而进行下载其它恶意程序以及在被感染计算机上访问指定挂马页面的行为,给用户造成了更大的损失。“U盘寄生虫”变种lrl可通过移动存储设备及网上邻居进行传播。其会自我复制为“[盘符];\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe”,并生成“autorun.inf”文件,从而利用系统的自动播放功能激活自我。尝试连接存在弱口令的局域网内电脑,一旦连接成功,便会将自身复制到其“C:\”根目录下,重新命名为“bootfont.exe”,并利用计划任务功能将其激活。“U盘寄生虫”变种lrl还会对部分扩展名为“.exe”、“.asp”、“.htm”、“.html”、“.aspx”及“.RAR”的文件进行感染,从而给用户造成更多的隐患。另外,“U盘寄生虫”变种lrl会在被感染计算机中注册系统服务,以此实现其开机自动运行。
