病毒名称(中文):
AUTO地鼠器
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
18494
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个AUTO病毒。该病毒会下载许多其它的病毒文件,并且利用修改系统时间和篡改数据等方法,破坏一些闻名杀软的正常运行。藏有AUTO病毒的磁盘分区会无法打开,系统也会被病毒严重占用资源,甚至瘫痪。该病毒还会下载众多盗号木马,其中包括名声恶劣的“机器狗”。此外,该病毒聪明地隐藏自己的路径,使得用户不轻易找到它,并且即便找到也不易删除。
1.病毒运行后,生成以下病毒文件(病毒文件众多,部分省略)
%windows%\upxdnd.exe
%windows%\WSockDrv32.exe
%windows%\Fonts\syn00-0C-29-71-51-1F(自动创建文件夹)
%windows%\Fonts\syn00-0C-29-71-51-1F\system\1a.exe
%windows%\Fonts\syn00-0C-29-71-51-1F\system\2a.exe
%windows%\Fonts\syn00-0C-29-71-51-1F\system\7a.exe
%windows%\Fonts\syn00-0C-29-71-51-1F\system\9a.exe
%windows%\Fonts\syn00-0C-29-71-51-1F\system\10a.exe
%windows%\Fonts\syn00-0C-29-71-51-1F\system\inudhya.dll
%windows%\Fonts\syn00-0C-29-71-51-1F\system\smss.exe
syn00-0C-29-71-51-1F\system128.vxd
%windows%\system32\cuhad.dll
%windows%\system32\eohsom.dll
%windows%\system32\fCBDCBD1033.EXE
%windows%\system32\fCBDCBD1033.DLL
%windows%\system32\mseion.sys
%windows%\system32\drivers\mselk.sys
......
2.病毒运行成功后,会立即修改系统时间为2018年,使依靠系统时间的软件即使失效,由于时间为2018年,甚至会导致许多软件不可使用的可能。
3.自动在各盘符中生成AUTO病毒,分别是ntldr.exe病毒文件和autorun.inf辅助文件,都具有隐藏属性。
4.病毒会严重占用系统资源,使系统处于全瘫痪状态,无法操作。
5.病毒自动释放一个XXX[1].txt文本文件,已经释放出来的病毒会根据这个文本文件里的病毒下载列表下载指定病毒。打开IE缓存查看,里面有许多病毒可执行文件已经被下载,其下载的路径在(内部查看的下载列表中),样本毒霸可查杀。
6.双击进入含有AUTO病毒的盘符时,会立即弹出一个对话框,内容为:"shell32.dll出错丢失条目:shellexec_rundll",事实证实,盘符通过左键双击已经无法打开。
7.病毒自动纂改启动项,添加了8个病毒启动项,分别是1a、smss、upxdnd、WSockDrv32、cmdbcs、DbgHlp32、AVPSrv、LotusHlp
8.此病毒需要注重路径%windows%\Fonts\syn00-0C-29-71-51-1F\system,该路径找到Fonts文件夹之后,就找不到syn00-0C-29-71-51-1F往下的文件夹,此时可以直接在地址栏输入整个路径,那么就可以进去了。
9.病毒文件找到后并不轻易删除,因为已经注入到某些进程里了,所以此时可以依靠粉碎器根据其路径粉碎掉对应病毒文件,或者进入安全模式进行删除。
10.该病毒会破坏毒霸,当选中病毒文件使用毒霸右键查杀的时候,却发现调用不出毒霸,弹出来的是个DOS窗口,一闪而过。打开毒霸也是同样的效果。当我们打开完杀软后,系统资源又会被严重占用。
11.使用系统清理专家扫描恶意软件发现,该病毒还不简单,会下载许多的盗号木马,并且还会下载当前流行病毒--机器狗等,该病毒的却是个相当强悍的病毒,各用户需要严重注重。
