扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
Win32.Troj.AutoRunT.up.151552(AUTO地鼠器)
这是一个AUTO病毒。该病毒会下载许多病毒可执行文件,并且修改系统时间。它破坏了各著名杀软,针对杀软做了许多操作,使其不能运行或生效。病毒还会聪明的隐藏起来,不轻易被找到,并且找到后也不容易删除。藏有AUTO病毒的盘符会无法打开,当打开时会弹出对话框。系统也会被病毒严重占用资源,使其瘫痪。该病毒会下载众多盗号木马,并且还会下载当前最流行的病毒--机器狗,所以该病毒危害甚大,望广大用户严重注意该病毒。
病毒症状及细节
1.病毒运行后,生成以下病毒文件(病毒文件众多,部分省略)
%windows%\upxdnd.exe
%windows%\WSockDrv32.exe
%windows%\Fonts\syn00-0C-29-71-51-1F(自动创建文件夹)
%windows%\Fonts\syn00-0C-29-71-51-1F\system\1a.exe
%windows%\Fonts\syn00-0C-29-71-51-1F\system\2a.exe
%windows%\Fonts\syn00-0C-29-71-51-1F\system\7a.exe
%windows%\Fonts\syn00-0C-29-71-51-1F\system\9a.exe
%windows%\Fonts\syn00-0C-29-71-51-1F\system\10a.exe
%windows%\Fonts\syn00-0C-29-71-51-1F\system\inudhya.dll
%windows%\Fonts\syn00-0C-29-71-51-1F\system\smss.exe
syn00-0C-29-71-51-1F\system128.vxd
%windows%\system32\cuhad.dll
%windows%\system32\eohsom.dll
%windows%\system32\fCBDCBD1033.EXE
%windows%\system32\fCBDCBD1033.DLL
%windows%\system32\mseion.sys
%windows%\system32\drivers\mselk.sys
......
2.病毒运行成功后,会立即修改系统时间为2018年,使依赖系统时间的软件即使失效,由于时间为2018年,甚至会导致许多软件不可使用的可能。
3.自动在各盘符中生成AUTO病毒,分别是ntldr.exe病毒文件和autorun.inf辅助文件,都具有隐藏属性。
4.病毒会严重占用系统资源,使系统处于全瘫痪状态,无法操作。
5.病毒自动释放一个XXX[1].txt文本文件,已经释放出来的病毒会根据这个文本文件里的病毒下载列表下载指定病毒。打开IE缓存查看,里面有许多病毒可执行文件已经被下载,其下载的路径为h**p://pu.p**a163.com和h**p://dow.18***8.c*m:81,样本毒霸可查杀。
6.双击进入含有AUTO病毒的盘符时,会立即弹出一个对话框,内容为:"shell32.dll出错
丢失条目:shellexec_rundll",事实证明,盘符通过左键双击已经无法打开。
7.病毒自动纂改启动项,添加了8个病毒启动项,分别是1a、smss、upxdnd、WSockDrv32、cmdbcs、DbgHlp32、AVPSrv、LotusHlp
8.此病毒需要注意路径%windows%\Fonts\syn00-0C-29-71-51-1F\system,该路径找到Fonts文件夹之后,就找不到syn00-0C-29-71-51-1F往下的文件夹,此时可以直接在地址栏输入整个路径,那么就可以进去了。
9.病毒文件找到后并不容易删除,因为已经注入到某些进程里了,所以此时可以依赖粉碎器根据其路径粉碎掉对应病毒文件,或者进入安全模式进行删除。
10.该病毒会破坏毒霸,当选中病毒文件使用毒霸右键查杀的时候,却发现调用不出毒霸,弹出来的是个DOS窗口,一闪而过。打开毒霸也是同样的效果。当我们打开完杀软后,系统资源又会被严重占用。
11.使用系统清理专家扫描恶意软件发现,该病毒还不简单,会下载许多的盗号木马,并且还会下载当前流行病毒--机器狗等,该病毒的却是个相当强悍的病毒,各用户需要严重注意。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者
京公网安备 11010802021500号