最新AUTO木馬病毒變種分析及解決方案

　　Win32.Troj.AutoRun.te.v是一個AUTO病毒。病毒成功運行後，會在各盤中生成具有隱藏屬性的AUTO病毒，注冊表被病毒修改後，具有隱藏屬性的文件無法查看。

　　病毒全名　Win32.Troj.AutoRun.te.v

　　病毒長度　89280

　　威脅級別　★★

　　中文名稱　AUTO特務89280

　　病毒類型　木馬下載器

　　病毒簡介

　　這是一個AUTO病毒。病毒成功運行後，會在各盤中生成具有隱藏屬性的AUTO病毒，注冊表被病毒修改後，具有隱藏屬性的文件無法查看。眾多啟動項被病毒刪除，包括殺軟、系統的啟動項，這樣會導致機器重啟後，殺軟失效，使用戶機器安全性大大降低。而且該病毒還有破壞安全模式、下載病毒的功能。

　　病毒行為

　　1.病毒運行後，生成以下病毒文件

　　%temp%RarSFX0

　　(系統臨時文件，開始、運行、輸入%temp%可打開該文件夾，

　　可使用清理專家的垃圾文件清理功能刪除，刪除不掉的文件，

　　可能是正在運行中。)

　　%windows%system32ComLSASS.EXE

　　%windows%system32Comnetcfg.000

　　%windows%system32Comnetcfg.dll

　　%windows%system32ComSMSS.EXE

　　%Local Settings%Temporary Internet FilesContent.IE5EC5UKR17r[1].htm

　　%Local Settings%Temporary Internet FilesContent.IE5GR8I0NOHCAYNKA2Y.HTM

　　2.在各盤中生成AUTO病毒，包括病毒文件pagefile.pif和autorun.inf輔助文件，都具有隱藏屬性。

　　3.病毒會修改注冊表，使系統的隱藏功能失效，用戶無法操控，只要具有隱藏屬性的文件將無法顯示。

　　4.查看啟動項，異常的發現啟動項中許多系統啟動項都被自動刪除，包括毒霸的啟動項。

　　5.由於啟動項被刪除，再使用反間諜的隱蔽軟件掃描，也就可以看到有兩個隱蔽軟件，分別是："異常的autorun.inf"和"Broken SafeBoot"，Broken SafeBoot很明顯是破壞安全模式的，這樣會使用戶中了該病毒以後無法進入安全模式。

　　6.該病毒還會引發ARP欺騙，導致在同一局域望網內的機器都有被欺騙的可能，明顯的症狀是：網絡時常斷開，會有病毒下載到總ARP的機器。

　　解決方案：

　　1.將以下文件使用清理專家徹底刪除

　　%temp%RarSFX0(系統臨時文件，開始、運行、輸入%temp%可打開該文件夾，

　　可使用清理專家的垃圾文件清理功能刪除，刪除不掉的文件，可能是正在運行中。)

　　%windows%system32ComLSASS.EXE(下面這4個文件可以用清理專家的粉碎器搞定)

　　%windows%system32Comnetcfg.000

　　%windows%system32Comnetcfg.dll

　　%windows%system32ComSMSS.EXE

　　%Local Settings%Temporary Internet FilesContent.IE5EC5UKR17r[1].htm

　　(病毒藏在IE緩存文件夾中，清理專家清理垃圾文件或刪除隱

　　私信息的功能也可以快速清空該文件夾)

　　%Local Settings%Temporary Internet FilesContent.IE5GR8I0NOHCAYNKA2Y.HTM

　　2.重啟電腦，再運行清理專家，在系統修復中，把引用以上幾個文件的加載項全部清除。

　　3.清理專家的惡意軟件查殺功能，可以同時修復被破壞的安全模式。

　　預防措施：

　　1.AUTO類病毒，都是利用移動存儲介質的自動播放功能傳播的。強烈建議使用金山清理專家或毒霸禁用自動播放功能。

　　2.修補操作系統漏洞、IE漏洞、常用播放器的漏洞，防止病毒通過系統漏洞入侵。

　　3.及時升級殺毒軟件。