病毒名称(中文):
AUTO病毒140800
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
27689
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
这是一个AUTO病毒。病毒成功运行后,会立即修改系统时间,使依靠系统时间的杀软失效,与此同时,创建映像劫持,使众多反病毒软件和安全软件无法使用。该病毒还具有隐藏的属性,轻易逃过用户的眼睛。在各盘产生的AUTO病毒只要左键双击便会再次出发,并下载众多病毒。
1.病毒运行后,生成以下病毒文件
%ProgramFiles%\meex.exe
%ProgramFiles%\CommonFiles\MicrosoftShared\nqyltsy.exe
%ProgramFiles%\CommonFiles\MicrosoftShared\ulcdqsp.inf
%ProgramFiles%\CommonFiles\System\yedkreq.exe
在注册表中添加以下病毒注册项
HKCU\Software\emka
HKCU\Software\ermd
HKCU\S-1-5-21-180167451-1202660629-839522115-1003\Software\emka
HKCU\S-1-5-21-180167451-1202660629-839522115-1003\Software\ermd
2.病毒运行成功后,会立即修改系统时间为"2005-11-15",同时会使依靠时间的杀软失效,大大降低系
统安全性。
3.该病毒还会在注册表的三个根节点HKCU、HKLM、HKU下分别做了不同的操作。如添加注册表项、创建
映像劫持、添加病毒启动项等。
4.由于病毒创建了映像劫持,所以以下安全软件和反病毒软件均不可使用,包括有"360安全卫士"、"金
山毒霸"、"绿鹰PC万能精灵"、"Arswp"、"超级巡警"、"瑞星"、"卡巴斯基"、"NOD32"、"QQ医
生"、"SRENG"
5.在系统重启后,会发现病毒修改了隐藏属性,使具有隐藏属性的文件经过设置仍然不能显示出来。病
毒源文件具有隐藏属性,所以此时也无法找出病毒源。该病毒起了很好的伪装性
6.在各盘中生成AUTO病毒,分别是iluqcwr.exe和autorun.inf辅助文件。当用户左键双击进入该盘,立
即再次激活病毒。
7.通过非凡的方法使反间谍运行起来后,可以扫出有"AV终结者变种"、"OSO蠕虫"、"logogo"等隐蔽软
件,这些隐蔽软件破坏性极大,而且还会破坏安全模式,给用户带来巨大的系统威胁。
