Win32.Troj.AutoRun.te.v

王朝system·作者佚名  2008-08-14
宽屏版  字体: |||超大  

病毒名称(中文):

AUTO特务89280

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

89280

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个AUTO病毒。病毒成功运行后,会在各盘中生成具有隐藏属性的AUTO病毒,注册表被病毒修改后,具有隐藏属性的文件无法查看。众多启动项被病毒删除,包括杀软、系统的启动项,这样会导致机器重启后,杀软失效,使用户机器安全性大大降低。而且该病毒还有破坏安全模式、下载病毒的功能。

1.病毒运行后,生成以下病毒文件

%temp%\RarSFX0

%windows%\system32\Com\LSASS.EXE

%windows%\system32\Com\netcfg.000

%windows%\system32\Com\netcfg.dll

%windows%\system32\Com\SMSS.EXE

%LocalSettings%\TemporaryInternetFiles\Content.IE5\EC5UKR17\r[1].htm

%LocalSettings%\TemporaryInternetFiles\Content.IE5\GR8I0NOH\CAYNKA2Y.HTM

2.在各盘中生成AUTO病毒,包括病毒文件pagefile.pif和autorun.inf辅助文件,都具有隐藏属性。

3.病毒会修改注册表,使系统的隐藏功能失效,用户无法操控,只要具有隐藏属性的文件将无法显示。

4.查看启动项,异常的发现启动项中许多系统启动项都被自动删除,包括毒霸的启动项。

5.由于启动项被删除,再使用反间谍的隐蔽软件扫描,也就可以看到有两个隐蔽软件,分别是:"异常的autorun.inf"和"BrokenSafeBoot",BrokenSafeBoot很明显是破坏安全模式的,这样会使用户中了该病毒以后无法进入安全模式。

6.该病毒还会引发ARP欺骗,导致在同一局域望网内的机器都有被欺骗的可能,明显的症状是:网络时常断开,会有病毒下载到总ARP的机器。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
© 2005- 王朝网络 版权所有