科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道终端安全最新AUTO病毒变种分析

最新AUTO病毒变种分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

众多启动项被病毒删除,包括杀软、系统的启动项,这样会导致机器重启后,杀软失效,使用户机器安全性大大降低。3.病毒会修改注册表,使系统的隐藏功能失效,用户无法操控,只要具有隐藏属性的文件将无法显示。

作者:佚名 来源:中国IT实验室 2009年12月8日

关键字: 网络安全 病毒

  • 评论
  • 分享微博
  • 分享邮件

  这是一个AUTO病毒。病毒成功运行后,会在各盘中生成具有隐藏属性的AUTO病毒,注册表被病毒修改后,具有隐藏属性的文件无法查看。众多启动项被病毒删除,包括杀软、系统的启动项,这样会导致机器重启后,杀软失效,使用户机器安全性大大降低。而且该病毒还有破坏安全模式、下载病毒的功能。

  病毒全名 Win32.Troj.AutoRun.te.v

  病毒长度 89280

  威胁级别 ★★

  中文名称 AUTO特务89280

  病毒类型 木马下载器

  病毒简介

  这是一个AUTO病毒。病毒成功运行后,会在各盘中生成具有隐藏属性的AUTO病毒,注册表被病毒修改后,具有隐藏属性的文件无法查看。众多启动项被病毒删除,包括杀软、系统的启动项,这样会导致机器重启后,杀软失效,使用户机器安全性大大降低。而且该病毒还有破坏安全模式、下载病毒的功能。

  病毒行为

  1.病毒运行后,生成以下病毒文件

  %temp%\\RarSFX0

  (系统临时文件,开始、运行、输入%temp%可打开该文件夹,

  可使用清理专家的垃圾文件清理功能删除,删除不掉的文件,

  可能是正在运行中。)

  %windows%\\system32\\Com\\LSASS.EXE

  %windows%\\system32\\Com\\netcfg.000

  %windows%\\system32\\Com\\netcfg.dll

  %windows%\\system32\\Com\\SMSS.EXE

  %Local Settings%\\Temporary Internet Files\\Content.IE5\\EC5UKR17\\r[1].htm

  %Local Settings%\\Temporary Internet Files\\Content.IE5\\GR8I0NOH\\CAYNKA2Y.HTM

  2.在各盘中生成AUTO病毒,包括病毒文件pagefile.pif和autorun.inf辅助文件,都具有隐藏属性。

  3.病毒会修改注册表,使系统的隐藏功能失效,用户无法操控,只要具有隐藏属性的文件将无法显示。

  4.查看启动项,异常的发现启动项中许多系统启动项都被自动删除,包括毒霸的启动项。

  5.由于启动项被删除,再使用反间谍的隐蔽软件扫描,也就可以看到有两个隐蔽软件,分别是:"异常的autorun.inf"和"Broken SafeBoot",Broken SafeBoot很明显是破坏安全模式的,这样会使用户中了该病毒以后无法进入安全模式。

  6.该病毒还会引发ARP欺骗,导致在同一局域望网内的机器都有被欺骗的可能,明显的症状是:网络时常断开,会有病毒下载到总ARP的机器。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章