auto病毒专杀过程|私募基金网生活频道
『simu001.cn』
最近我的电脑老是不对劲,当双击打开磁盘目录的时候,不仅运行得非常缓慢,而且磁盘会出现一阵莫名其妙的狂转。想利用杀毒软件进行扫描,可是杀毒软件一运行就自动关闭了。此外,我还发现每个磁盘的右键菜单,都多了一个“Auto”命令选项(见图)。请问医生,我的系统中的是什么病毒?
病毒自述:感染所有磁盘『simu001.cn』
我是Auto病毒变种Win32.Troj.AutoRun.vc.15362,代表Auto病毒家族又一次在网上“开疆扩土”。当我通过网页木马或移动设备,进入到用户的操作系统后就马上运行。『simu001.cn』
首先会随机生成6位或8位文件名。接着,我会搜索包含闪存盘、移动硬盘等移动存储器在内的全部磁盘,如果发现有哪个磁盘尚未中毒就立刻放置病毒文件Autorun.inf和自身的副本Auto.exe,并且设置属性为“系统”和“隐藏”。这样,只要用户双击磁盘,我就会立即被激活运行,并在右键菜单中添加一个“Auto”的自动运行命令。『simu001.cn』
然后,我会在系统System32目录下放置自身的副本文件和释放出来的DLL文件,同时将它们伪装成具有隐藏属性的系统文件,并且将释放出来的DLL文件,插入到系统进程中的所有进程。接着修改系统注册表默认的键值,将系统隐藏文件选项的键值删除,造成用户无法查看隐藏起来的病毒文件。『simu001.cn』
为了自保,我会搜索注册表启动项里是否有 金山毒霸、 卡巴斯基等字符串键值,如果有的话则通过模拟鼠标操作、修改系统时间等方式关闭它们。最后,我会从病毒作者指定的地址下载病毒列表,并根据列表信息去下载其他的病毒,准备窃取账号、偷盗文件……『simu001.cn』
本期医生:重启电脑 消除Auto病毒『simu001.cn』
虽然Auto病毒“自吹自擂”听起来很厉害,但是我已经找到了它的死穴。该病毒的DLL文件插入到了所有的进程,采取直接删除的办法是无法彻底删除的,但在刚开机时不能马上释放DLL文件进行插入,此时就是最佳的清除时机。『simu001.cn』
第一步:首先运行安全辅助工具WSysCheck,点击“服务管理”标签,会看到一个红色的服务D61CF4(名称是随机的),这就是Auto病毒创建的启动服务。选中该启动服务后点击右键中的“定位文件命令”。『simu001.cn』
这时程序自动跳转到“文件管理”标签,在窗口中自动选中63FD08.dll和6A8A14.exe,选择右键中的“发送到重启上传文件列表”命令。重新启动系统后,系统中的病毒主文件就被删除了。『simu001.cn』
第二步:再点击“服务管理”标签,选择红色的D61CF4病毒启动服务,单击右键中的“删除选中的服务”命令。接着选择程序中的“文件管理”标签,选中每个磁盘目录中的Autorun.inf和Auto.exe,点击鼠标右键中的“删除选中的服务”命令删除即可。『simu001.cn』
第三步:运行系统修复工具SREng,点击窗口中的“系统修复”按钮。选择“高强修复”标签,点击“自动修复”按钮后就可以修复被病毒破坏的系统信息了。最后升级杀毒软件的病毒库,对系统进行彻底的扫描,清除Auto木马下载的其他病毒。『simu001.cn』
什么是Auto病毒?『simu001.cn』
Auto病毒是Rose病毒的变种,现在已经形成了一个很有影响力的病毒家族。此类病毒的主要特征是双击磁盘打开缓慢,右键菜单中多了一个“OPEN”或者“Auto”命令选项。Auto病毒最重要的传播途径是各种移动设备,所以平时最好禁用系统的自动播放功能。 『simu001.cn』
