萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 最新AUTO木馬病毒變種分析及解決方案

最新AUTO木馬病毒變種分析及解決方案

  Win32.Troj.AutoRun.te.v是一個AUTO病毒。病毒成功運行後,會在各盤中生成具有隱藏屬性的AUTO病毒,注冊表被病毒修改後,具有隱藏屬性的文件無法查看。

  病毒全名 Win32.Troj.AutoRun.te.v

  病毒長度 89280

  威脅級別 ★★

  中文名稱 AUTO特務89280

  病毒類型 木馬下載器

  病毒簡介

  這是一個AUTO病毒。病毒成功運行後,會在各盤中生成具有隱藏屬性的AUTO病毒,注冊表被病毒修改後,具有隱藏屬性的文件無法查看。眾多啟動項被病毒刪除,包括殺軟、系統的啟動項,這樣會導致機器重啟後,殺軟失效,使用戶機器安全性大大降低。而且該病毒還有破壞安全模式、下載病毒的功能。

  病毒行為

  1.病毒運行後,生成以下病毒文件

  %temp%RarSFX0

  (系統臨時文件,開始、運行、輸入%temp%可打開該文件夾,

  可使用清理專家的垃圾文件清理功能刪除,刪除不掉的文件,

  可能是正在運行中。)

  %windows%system32ComLSASS.EXE

  %windows%system32Comnetcfg.000

  %windows%system32Comnetcfg.dll

  %windows%system32ComSMSS.EXE

  %Local Settings%Temporary Internet FilesContent.IE5EC5UKR17r[1].htm

  %Local Settings%Temporary Internet FilesContent.IE5GR8I0NOHCAYNKA2Y.HTM

  2.在各盤中生成AUTO病毒,包括病毒文件pagefile.pif和autorun.inf輔助文件,都具有隱藏屬性。

  3.病毒會修改注冊表,使系統的隱藏功能失效,用戶無法操控,只要具有隱藏屬性的文件將無法顯示。

  4.查看啟動項,異常的發現啟動項中許多系統啟動項都被自動刪除,包括毒霸的啟動項。

  5.由於啟動項被刪除,再使用反間諜的隱蔽軟件掃描,也就可以看到有兩個隱蔽軟件,分別是:"異常的autorun.inf"和"Broken SafeBoot",Broken SafeBoot很明顯是破壞安全模式的,這樣會使用戶中了該病毒以後無法進入安全模式。

  6.該病毒還會引發ARP欺騙,導致在同一局域望網內的機器都有被欺騙的可能,明顯的症狀是:網絡時常斷開,會有病毒下載到總ARP的機器。

  解決方案:

  1.將以下文件使用清理專家徹底刪除

  %temp%RarSFX0(系統臨時文件,開始、運行、輸入%temp%可打開該文件夾,

  可使用清理專家的垃圾文件清理功能刪除,刪除不掉的文件,可能是正在運行中。)

  %windows%system32ComLSASS.EXE(下面這4個文件可以用清理專家的粉碎器搞定)

  %windows%system32Comnetcfg.000

  %windows%system32Comnetcfg.dll

  %windows%system32ComSMSS.EXE

  %Local Settings%Temporary Internet FilesContent.IE5EC5UKR17r[1].htm

  (病毒藏在IE緩存文件夾中,清理專家清理垃圾文件或刪除隱

  私信息的功能也可以快速清空該文件夾)

  %Local Settings%Temporary Internet FilesContent.IE5GR8I0NOHCAYNKA2Y.HTM

  2.重啟電腦,再運行清理專家,在系統修復中,把引用以上幾個文件的加載項全部清除。

  3.清理專家的惡意軟件查殺功能,可以同時修復被破壞的安全模式。

  預防措施:

  1.AUTO類病毒,都是利用移動存儲介質的自動播放功能傳播的。強烈建議使用金山清理專家或毒霸禁用自動播放功能。

  2.修補操作系統漏洞、IE漏洞、常用播放器的漏洞,防止病毒通過系統漏洞入侵。

  3.及時升級殺毒軟件。

copyright © 萬盛學電腦網 all rights reserved