萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> AUTO病毒增強偽裝性 生成大量假微軟文件

AUTO病毒增強偽裝性 生成大量假微軟文件

“AUTO卡機病毒”(Win32.Troj.Delf.1082542),這是一個AUTO病毒。該病毒生成大量偽裝成微軟文件的病毒文件。病毒運行後會造成計算機運行速度明顯變慢,並破壞殺軟卡巴斯基的正常使用。它還會從網絡中下載大量腳本病毒到IE緩存和IE歷史記錄裡,導致用戶在打開網頁時,毒霸不停地報病毒。而且還會造成用戶無法重啟或關閉系統。

“刀劍盜號木馬”(Win32.Troj.OnlineGames.dz.77824),這是一個盜號木馬。病毒運行後創建注冊表啟動項,以達到開機自啟動。並創建線程,不斷修改注冊表,禁止系統自動更新和關閉系統防火牆,然後通過內存讀寫的方式盜取客戶計算機上網絡游戲《刀劍》的賬號信息。

一、“AUTO卡機病毒”(Win32.Troj.Delf.1082542) 威脅級別:★★

這是一個AUTO病毒,其最大特點就是具有較強的偽裝性。病毒運行成功後,會在系統各盤中生成AUTO病毒文件,AUTO病毒分別是iexplore.exe和autorun.inf輔助文件。另外,還會在%windows%目錄下生成一個偽裝的QQ.exe文件。接下來,病毒修改系統日期為2000年,使殺毒軟件軟卡巴斯基的激活碼失效,無法正常殺毒,造成用戶計算機系統的安全性大大降低。

當用戶使用鼠標左鍵雙擊進入有AUTO病毒的盤符時,會無法打開該盤並觸發該病毒。一旦被觸發,病毒立即從網絡下載大量腳本病毒到IE緩存和IE歷史記錄裡,導致用戶在打開網頁時,毒霸會不停報病毒。該病毒運行時的症狀是計算機速度明顯變慢,並且,當用戶重啟或關閉系統時,畫面會一直停留在底色桌面,無法進行任何操作。

如強行重啟,再打開系統盤,可發現在系統盤根目錄下多了好幾個exe文件,它們的圖標都是IE浏覽器的圖標。而用金山反間諜查看啟動項,會發現有兩個異常啟動項,名稱分別為QQ和Internet Explorer.exe,發行商名稱:Microsoft Corporation(微軟)。很明顯,這些也是病毒的偽裝。

二、“刀劍盜號木馬”(Win32.Troj.OnlineGames.dz.77824) 威脅級別:★★

這是一個盜號木馬,網絡游戲《刀劍》是它的作案對象。病毒運行後將自身文件sidjaaz.exe復制至%windir%system32目錄下,並釋放病毒文件sidjacs.dll、sidjazy.dll到該目錄中,同時還會釋放另一個病毒文件cadaafx.fon到%windir%Fonts目錄下。隨後,病毒創建注冊表啟動項,以達到開機自啟動。

接下來,病毒在system32目錄下搜索verclsid.exe(這是windows安全驗證的一個相關程序),如果發現此文件,就會創建批處理文件將其刪除。同時,它還會刪除C:Program FilesNetMeeting、D:Program FilesNetMeeting、%windir%system32 目錄下所有的 cfg 後綴名文件。最後,病毒創建線程,不斷修改注冊表,禁止系統自動更新和關閉系統防火牆.

通過以上步驟完成對安全系統的破壞後,病毒便以內存讀寫的方式盜取客戶計算機上網絡游戲《刀劍》的賬號信息,給用戶造成虛擬財產的損失。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟件進行全面監控。建議用戶安裝反病毒軟件防止日益增多的病毒,用戶在安裝反病毒軟件之後,應該經常進行升級、將一些主要監控經常打開(如郵件監控、內存監控等),遇到問題要上報, 這樣才能真正保障計算機的安全。

2.玩網絡游戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟件,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。

copyright © 萬盛學電腦網 all rights reserved