“AUTO地鼠器”(Win32.Troj.AutoRunT.up.151552),这是一个AUTO病毒。该病毒会下载许多其它的病毒文件,并且利用修改系统时间和篡改数据等方法,破坏一些著名杀软的正常运行。藏有AUTO病毒的磁盘分区会无法打开,系统也会被病毒严重占用资源,甚至瘫痪。该病毒还会下载众多盗号木马,其中包括名声恶劣的“机器狗”。此外,该病毒聪明地隐藏自己的路径,使得用户不容易找到它,并且即便找到也不易删除。
“网游盗号木马102400”(Win32.Troj.OnlineGames.py.102400),这是一个网游盗号木马。它会关闭卡巴斯基和瑞星的监视窗口,不让用户知道系统中发生的异常。然后通过内存读取的方式盗取网络游戏《大话西游3》、《破天一剑》、《剑侠情缘2》、《征服》、《魔域》和“浩方对战平台”的账号信息。
一、“AUTO地鼠器”(Win32.Troj.AutoRunT.up.151552) 威胁级别:★★
病毒进入电脑系统后,在系统盘中释放出海量的病毒文件,难以一一罗列,但主要集中在%windows%、%windows%\Fonts\syn00-0C-29-71-51-1F\等目录下。随后,病毒立即修改系统时间为2018年,使卡巴斯基等依赖依赖系统时间进行激活和升级的杀毒软件失效。同时,它搜索并破坏毒霸的数据,使毒霸也无法正常运行。当用户试图使用毒霸时,会发现无法将其调用,只会弹出个一闪而过的DOS窗口。
与此同时,病毒纂改注册表,添加了8个病毒启动项,分别是1a、smss、upxdnd、WSockDrv32、cmdbcs、DbgHlp32、AVPSrv、LotusHlp,然后开始疯狂的下载活动。它根据自带的病毒下载列表,从木马种植者指定的多个远程服务器下载海量其它病毒文件,如果使用金山清理专家扫描恶意软件可发现它下载的大部分病毒是盗号木马,其中包括最近名声非常恶劣的“机器狗”。随着进入电脑的木马越来越多,系统资源会被病毒严重占用,直至瘫痪。
除进行下载外,此病毒还在各磁盘分区中生成隐藏的AUTO病毒,分别是ntldr.exe病毒文件和autorun.inf辅助文件。被AUTO病毒占领的分区,通过左键双击已无法打开,并且只要用户在中毒电脑上使用U盘等移动存储设备,病毒就会将其传染,扩大自己的传染范围。
对于此病毒,用户需要注意路径“%windows%\Fonts\syn00-0C-29-71-51-1F\system”。病毒为隐藏自己在此目录下的文件,会使用户在找到Fonts文件夹之后,就进不去“syn00-0C-29-71-51-1F”往下的文件夹,但大家如果直接在地址栏输入整个路径,就可以进去了。这些病毒文件找到后并不容易删除,因为已经注入到某些进程里了,但可以依赖毒霸的粉碎器根据其路径粉碎掉对应病毒文件,或者进入安全模式进行删除。
二、“网游盗号木马102400”(Win32.Troj.OnlineGames.py.102400) 威胁级别:★
病毒进入用户电脑后,在系统盘中释放出两个病毒文件,分别为%WINDOWS%\目录下的DbgHlp32.exe和%WINDOWS%\system32\目录下的DbgHlp32.dll。随后,它修改系统注册表,将自己的相关信息写入其中,实现开机自启动。
病毒如成功运行起来,首先会查找并关闭杀毒软件卡巴斯基和瑞星的监视窗口程序,阻止它们向用户报告系统中发生的异常情况。
接着,病毒注入系统桌面进程explorer.exe,查找网络游戏《大话西游3》、《破天一剑》、《剑侠情缘2》、《征服》、《魔域》和“浩方对战平台”的进程,通过内存读取的方式盗取用户的账号信息。并悄悄连接木马种植者指定的多个远程服务器,上传偷来的信息,给用户造成虚拟财产的损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年3月6的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。