最近我的電腦老是不對勁,當雙擊打開磁盤目錄的時候,不僅運行得非常緩慢,而且磁盤會出現一陣莫名其妙的狂轉。想利用殺毒軟件進行掃描,可是殺毒軟件一運行就自動關閉了。此外,我還發現每個磁盤的右鍵菜單,都多了一個“Auto”命令選項(見圖)。請問醫生,我的系統中的是什麼病毒?
病毒自述:感染所有磁盤
我是Auto病毒變種Win32.Troj.AutoRun.vc.15362,代表Auto病毒家族又一次在網上“開疆擴土”。當我通過網頁木馬或移動設備,進入到用戶的操作系統後就馬上運行。
首先會隨機生成6位或8位文件名。接著,我會搜索包含閃存盤、移動硬盤等移動存儲器在內的全部磁盤,如果發現有哪個磁盤尚未中毒就立刻放置病毒文件Autorun.inf和自身的副本Auto.exe,並且設置屬性為“系統”和“隱藏”。這樣,只要用戶雙擊磁盤,我就會立即被激活運行,並在右鍵菜單中添加一個“Auto”的自動運行命令。
然後,我會在系統System32目錄下放置自身的副本文件和釋放出來的DLL文件,同時將它們偽裝成具有隱藏屬性的系統文件,並且將釋放出來的DLL文件,插入到系統進程中的所有進程。接著修改系統注冊表默認的鍵值,將系統隱藏文件選項的鍵值刪除,造成用戶無法查看隱藏起來的病毒文件。
為了自保,我會搜索注冊表啟動項裡是否有 金山毒霸、 卡巴斯基等字符串鍵值,如果有的話則通過模擬鼠標操作、修改系統時間等方式關閉它們。tW.WinGWIT.CoM最後,我會從病毒作者指定的地址下載病毒列表,並根據列表信息去下載其他的病毒,准備竊取賬號、偷盜文件……
本期醫生:重啟電腦 消除Auto病毒
雖然Auto病毒“自吹自擂”聽起來很厲害,但是我已經找到了它的死穴。該病毒的DLL文件插入到了所有的進程,采取直接刪除的辦法是無法徹底刪除的,但在剛開機時不能馬上釋放DLL文件進行插入,此時就是最佳的清除時機。
第一步:首先運行安全輔助工具WSysCheck,點擊“服務管理”標簽,會看到一個紅色的服務D61CF4(名稱是隨機的),這就是Auto病毒創建的啟動服務。選中該啟動服務後點擊右鍵中的“定位文件命令”。
這時程序自動跳轉到“文件管理”標簽,在窗口中自動選中63FD08.dll和6A8A14.exe,選擇右鍵中的“發送到重啟上傳文件列表”命令。重新啟動系統後,系統中的病毒主文件就被刪除了。
第二步:再點擊“服務管理”標簽,選擇紅色的D61CF4病毒啟動服務,單擊右鍵中的“刪除選中的服務”命令。接著選擇程序中的“文件管理”標簽,選中每個磁盤目錄中的Autorun.inf和Auto.exe,點擊鼠標右鍵中的“刪除選中的服務”命令刪除即可。
第三步:運行系統修復工具SREng,點擊窗口中的“系統修復”按鈕。選擇“高強修復”標簽,點擊“自動修復”按鈕後就可以修復被病毒破壞的系統信息了。最後升級殺毒軟件的病毒庫,對系統進行徹底的掃描,清除Auto木馬下載的其他病毒。
什麼是Auto病毒?
Auto病毒是Rose病毒的變種,現在已經形成了一個很有影響力的病毒家族。此類病毒的主要特征是雙擊磁盤打開緩慢,右鍵菜單中多了一個“OPEN”或者“Auto”命令選項。Auto病毒最重要的傳播途徑是各種移動設備,所以平時最好禁用系統的自動播放功能。
From:http://tw.wingwit.com/Article/Network/201309/142.html