AUTO病毒增強偽裝性　生成大量假微軟文件

“AUTO卡機病毒”（Win32.Troj.Delf.1082542），這是一個AUTO病毒。該病毒生成大量偽裝成微軟文件的病毒文件。病毒運行後會造成計算機運行速度明顯變慢，並破壞殺軟卡巴斯基的正常使用。它還會從網絡中下載大量腳本病毒到IE緩存和IE歷史記錄裡，導致用戶在打開網頁時，毒霸不停地報病毒。而且還會造成用戶無法重啟或關閉系統。

“刀劍盜號木馬”（Win32.Troj.OnlineGames.dz.77824），這是一個盜號木馬。病毒運行後創建注冊表啟動項，以達到開機自啟動。並創建線程，不斷修改注冊表，禁止系統自動更新和關閉系統防火牆，然後通過內存讀寫的方式盜取客戶計算機上網絡游戲《刀劍》的賬號信息。

一、“AUTO卡機病毒”（Win32.Troj.Delf.1082542） 威脅級別：★★

這是一個AUTO病毒，其最大特點就是具有較強的偽裝性。病毒運行成功後，會在系統各盤中生成AUTO病毒文件，AUTO病毒分別是iexplore.exe和autorun.inf輔助文件。另外，還會在%windows%目錄下生成一個偽裝的QQ.exe文件。接下來，病毒修改系統日期為2000年，使殺毒軟件軟卡巴斯基的激活碼失效，無法正常殺毒，造成用戶計算機系統的安全性大大降低。

當用戶使用鼠標左鍵雙擊進入有AUTO病毒的盤符時，會無法打開該盤並觸發該病毒。一旦被觸發，病毒立即從網絡下載大量腳本病毒到IE緩存和IE歷史記錄裡，導致用戶在打開網頁時，毒霸會不停報病毒。該病毒運行時的症狀是計算機速度明顯變慢，並且，當用戶重啟或關閉系統時，畫面會一直停留在底色桌面，無法進行任何操作。

如強行重啟，再打開系統盤，可發現在系統盤根目錄下多了好幾個exe文件，它們的圖標都是IE浏覽器的圖標。而用金山反間諜查看啟動項，會發現有兩個異常啟動項，名稱分別為QQ和Internet Explorer.exe，發行商名稱：Microsoft Corporation(微軟)。很明顯，這些也是病毒的偽裝。

二、“刀劍盜號木馬”（Win32.Troj.OnlineGames.dz.77824） 威脅級別：★★

這是一個盜號木馬，網絡游戲《刀劍》是它的作案對象。病毒運行後將自身文件sidjaaz.exe復制至%windir%system32目錄下，並釋放病毒文件sidjacs.dll、sidjazy.dll到該目錄中，同時還會釋放另一個病毒文件cadaafx.fon到%windir%Fonts目錄下。隨後，病毒創建注冊表啟動項，以達到開機自啟動。

接下來，病毒在system32目錄下搜索verclsid.exe（這是windows安全驗證的一個相關程序），如果發現此文件，就會創建批處理文件將其刪除。同時，它還會刪除C:Program FilesNetMeeting、D:Program FilesNetMeeting、%windir%system32　目錄下所有的 cfg 後綴名文件。最後，病毒創建線程，不斷修改注冊表，禁止系統自動更新和關閉系統防火牆.

通過以上步驟完成對安全系統的破壞後，病毒便以內存讀寫的方式盜取客戶計算機上網絡游戲《刀劍》的賬號信息，給用戶造成虛擬財產的損失。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟件進行全面監控。建議用戶安裝反病毒軟件防止日益增多的病毒，用戶在安裝反病毒軟件之後，應該經常進行升級、將一些主要監控經常打開（如郵件監控、內存監控等），遇到問題要上報， 這樣才能真正保障計算機的安全。

2.玩網絡游戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟件，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。