客服电话:400 610 7777
“AUTO病毒151552”(Win32.Troj.AutoRun.be.151552),这是一个AUTO病毒。病毒运行后,会立即在各盘符中生成AUTO病毒。然后创建映像劫持,造成著名的杀毒软件和安全辅助工具均无法正常使用。该病毒还会严重占用系统资源,使用户操作系统十分困难。最后,它还会不停地向局域网内的其它电脑发送ARP欺骗包,导致局域网内的机器全部瘫痪。
“纸糊防火墙”(Win32.TrojDownloader.Agent.20480),这是一个下载者木马变种。病毒执行后会判断操作系统版本,释放相应病毒文件至系统文件夹。它会替换xp系统的防火墙驱动,并删除自身文件以避免被用户发现。另外,病毒还会在后台悄悄下载更多的病毒程序安装至本地计算机。
一、“AUTO病毒151552”(Win32.Troj.AutoRun.be.151552)威胁级别:★★
病毒进入用户系统后,在系统盘的%windows%\font\system\目录下释放出病毒文件ati2evxx.exe,然后立即生成一个ntldr.exe.bat文件删除自己的原始文件,使用户无法找到病毒源头。接着,病毒在各磁盘分区的根目录下生成AUTO病毒文件ntldr.exe和autorun.inf。
当用户鼠标左键双击打开含有AUTO病毒的盘符时,病毒就会随之触发,但如果采取右键打开的方式打开盘符,病毒则不会有反应。不过,有一点需要注意,如果用户在中毒电脑上使用U盘等移动存储器,那么无论是否点击含毒磁盘,病毒都会立即发作,将移动存储器感染,借以扩大自己的传播范围。
该病毒运行成功后,会立即对电脑系统中的EXE可执行文件创建映像劫持,如果劫持成功,用户电脑上包括著名杀毒软件和安全辅助软件在内的全部程序将无法正常运行。要是用户想启动电脑的中的程序,其结果只能是把病毒再次激活而已。
随着病毒在电脑中的持续运行,系统资源会被严重占用,系统将无法正常操作。并且病毒还会不断向局域网内的其它计算机发送ARP欺骗包,使局域网的网络发生堵塞,直至瘫痪。
二、“纸糊防火墙”(Win32.TrojDownloader.Agent.20480)威胁级别:★★
病毒顺利潜入用户电脑系统后,会先释放出3个病毒文件,分别为%WINDOWS%\drivers\目录下的runtime.sys,%WINDOWS%\DRIVERS\目录下的Ip6Fw.sys,以及%WINDOWS%\0_exception.nl。此外,如果中毒用户的操作系统为windows2000,那么病毒还会在%WINDOWS%\drivers\目录下生成一个netdtect.sys文件。释放完文件后,病毒就修改注册表,把自己的相关数据写入启动项,达到随系统自动启动之目的。
随系统重新启动后,病毒会尝试运行之前生成的runtime.sys文件和Ip6Fw.sys文件。为了避免被用户发现,它会将Ip6Fw.sys加以伪装,如果用户检查此文件的属性,会看到其描述是:为家庭和小型办公网络提供入侵保护服务。这样的描述有点眼熟吧,原来,这个文件是病毒用来替换WINDOWS系统防火墙驱动的。
当成功替换掉WINDOWS系统防火墙驱动,病毒就删除自身原始文件,然后开始查询中毒电脑的操作系统版本等信息,并利用IE浏览器的进程IEXPLORE.EXE在后台建立远程连接,根据之前获取的系统信息从黑客指定的远程服务器下载更多其它病毒,给用户系统安全带来更多无法估计的威胁。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年1月5的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
标签: