最近我的電腦老是不對勁,當雙擊打開磁片目錄的時候,不僅運行得非常緩慢,而且磁片會出現一陣莫名其妙的狂轉。想利用殺毒軟體進行掃描,可是殺毒軟體一運行就自動關閉了。此外,我還發現每個磁片的右鍵菜單,都多了一個“Auto”命令選項(見圖)。請問醫生,我的系統中的是什麼病毒?
病毒自述:感染所有磁片
我是Auto病毒變種Win32.Troj.AutoRun.vc.15362,代表Auto病毒家族又一次在網上“開疆擴土”。當我通過網頁木馬或移動設備,進入到用戶的操作系統後就馬上運行。
首先會隨機生成6位或8位檔案名。接著,我會搜索包含閃存盤、移動硬碟等移動記憶體在內的全部磁片,如果發現有哪個磁片尚未中毒就立刻放置病毒檔Autorun.inf和自身的副本Auto.exe,並且設置屬性為“系統”和“隱藏”。這樣,只要用戶雙擊磁片,我就會立即被啟動運行,並在右鍵菜單中添加一個“Auto”的自動運行命令。
然後,我會在系統System32目錄下放置自身的副本檔和釋放出來的DLL檔,同時將它們偽裝成具有隱藏屬性的系統檔,並且將釋放出來的DLL檔,插入到系統進程中的所有進程。接著修改系統註冊表默認的鍵值,將系統隱藏檔選項的鍵值刪除,造成用戶無法查看隱藏起來的病毒檔。
為了自保,我會搜索註冊表啟動項裏是否有 金山毒霸、 卡巴斯基等字串鍵值,如果有的話則通過模擬滑鼠操作、修改系統時間等方式關閉它們。最後,我會從病毒作者指定的地址下載病毒列表,並根據列表資訊去下載其他的病毒,準備竊取帳號、偷盜檔……
本期醫生:重啟電腦 消除Auto病毒
雖然Auto病毒“自吹自擂”聽起來很厲害,但是我已經找到了它的死穴。該病毒的DLL檔插入到了所有的進程,採取直接刪除的辦法是無法徹底刪除的,但在剛開機時不能馬上釋放DLL檔進行插入,此時就是最佳的清除時機。
第一步:首先運行安全輔助工具WSysCheck,點擊“服務管理”標籤,會看到一個紅色的服務D61CF4(名稱是隨機的),這就是Auto病毒創建的啟動服務。選中該啟動服務後點擊右鍵中的“定位檔命令”。
這時程式自動跳轉到“檔管理”標籤,在窗口中自動選中63FD08.dll和6A8A14.exe,選擇右鍵中的“發送到重啟上傳檔列表”命令。重新啟動系統後,系統中的病毒主文件就被刪除了。
第二步:再點擊“服務管理”標籤,選擇紅色的D61CF4病毒啟動服務,單擊右鍵中的“刪除選中的服務”命令。接著選擇程式中的“檔管理”標籤,選中每個磁片目錄中的Autorun.inf和Auto.exe,點擊滑鼠右鍵中的“刪除選中的服務”命令刪除即可。
第三步:運行系統修復工具SREng,點擊窗口中的“系統修復”按鈕。選擇“高強修復”標籤,點擊“自動修復”按鈕後就可以修復被病毒破壞的系統資訊了。最後升級殺毒軟體的病毒庫,對系統進行徹底的掃描,清除Auto木馬下載的其他病毒。
什麼是Auto病毒?
Auto病毒是Rose病毒的變種,現在已經形成了一個很有影響力的病毒家族。此類病毒的主要特徵是雙擊磁片打開緩慢,右鍵菜單中多了一個“OPEN”或者“Auto”命令選項。Auto病毒最重要的傳播途徑是各種移動設備,所以平時最好禁用系統的自動播放功能。 |
