對(duì)AUTO病毒變種的詳細(xì)解析
以下的文章主要向大家介紹的是AUTO病毒變種的詳細(xì)分析,這是一個(gè)AUTO病毒。它具有十分可怕的“功能”在病毒成功運(yùn)行之后,其會(huì)在各盤(pán)中生成具有隱藏屬性的AUTO病毒,注冊(cè)表被病毒修改后,具有隱藏屬性的文件無(wú)法查看。
眾多啟動(dòng)項(xiàng)被病毒刪除,包括殺軟、系統(tǒng)的啟動(dòng)項(xiàng),這樣會(huì)導(dǎo)致機(jī)器重啟后,殺軟失效,使用戶(hù)機(jī)器安全性大大降低。而且該病毒還有破壞安全模式、下載病毒的功能。
病毒全名 Win32.Troj.AutoRun.te.v
病毒長(zhǎng)度 89280
威脅級(jí)別 ★★
中文名稱(chēng) AUTO特務(wù)89280
病毒類(lèi)型 木馬下載器
病毒簡(jiǎn)介
這是一個(gè)AUTO病毒。病毒成功運(yùn)行后,會(huì)在各盤(pán)中生成具有隱藏屬性的AUTO病毒,注冊(cè)表被病毒修改后,具有隱藏屬性的文件無(wú)法查看。眾多啟動(dòng)項(xiàng)被病毒刪除,包括殺軟、系統(tǒng)的啟動(dòng)項(xiàng),這樣會(huì)導(dǎo)致機(jī)器重啟后,殺軟失效,使用戶(hù)機(jī)器安全性大大降低。而且該病毒還有破壞安全模式、下載病毒的功能。
病毒行為
1.病毒運(yùn)行后,生成以下病毒文件
%temp%\RarSFX0
(系統(tǒng)臨時(shí)文件,開(kāi)始、運(yùn)行、輸入%temp%可打開(kāi)該文件夾,
可使用清理專(zhuān)家的垃圾文件清理功能刪除,刪除不掉的文件,
可能是正在運(yùn)行中。)
%windows%\system32\Com\LSASS.EXE
%windows%\system32\Com\netcfg.000
%windows%\system32\Com\netcfg.dll
%windows%\system32\Com\SMSS.EXE
%Local Settings%\Temporary Internet Files\Content.IE5\EC5UKR17\r[1].htm
%Local Settings%\Temporary Internet Files\Content.IE5\GR8I0NOH\CAYNKA2Y.HTM
2.在各盤(pán)中生成AUTO病毒,包括病毒文件pagefile.pif和autorun.inf輔助文件,都具有隱藏屬性。
3.病毒會(huì)修改注冊(cè)表,使系統(tǒng)的隱藏功能失效,用戶(hù)無(wú)法操控,只要具有隱藏屬性的文件將無(wú)法顯示。
4.查看啟動(dòng)項(xiàng),異常的發(fā)現(xiàn)啟動(dòng)項(xiàng)中許多系統(tǒng)啟動(dòng)項(xiàng)都被自動(dòng)刪除,包括毒霸的啟動(dòng)項(xiàng)。
5.由于啟動(dòng)項(xiàng)被刪除,再使用反間諜的隱蔽軟件掃描,也就可以看到有兩個(gè)隱蔽軟件,分別是:"異常的autorun.inf"和"Broken SafeBoot",Broken SafeBoot很明顯是破壞安全模式的,這樣會(huì)使用戶(hù)中了該病毒以后無(wú)法進(jìn)入安全模式。
6.該病毒還會(huì)引發(fā)ARP欺騙,導(dǎo)致在同一局域望網(wǎng)內(nèi)的機(jī)器都有被欺騙的可能,明顯的癥狀是:網(wǎng)絡(luò)時(shí)常斷開(kāi),會(huì)有病毒下載到總ARP的機(jī)器。
【編輯推薦】
