AUTO病毒可致杀毒软件失效

　　“AUTO病毒18992”（Worm.AutoRunsT.ot.18432），这是一个AUTO病毒。病毒成功运行后会在系统盘下生成AUTO病毒和病毒可执行文件。通过这些病毒文件修改系统时间为2005年，使依赖系统时间有效性的杀软失效。病毒会感染杀软中的可执行文件，如果用户打开毒霸反间谍的隐蔽软件扫描，会有许多伪装成毒霸网页的病毒页面迅速地自动打开，严重占用系统资源，造成死机的可能性。

　　“问道木马213001”（Win32.Troj.Unknown.213001），这是一个针对网络游戏《问道》的盗号木马。该木马首先会遍历进程列表查找是否有卡巴斯基的进程，如果找到则修改系统时间为2003年，导致卡巴斯基失效。然后，该木马会注入桌面进程explorer.exe中，并展开全局监视，如果发现游戏主程序便注入其中，盗取用户的帐号信息。

　　一、“AUTO病毒18992”（Worm.AutoRunsT.ot.18432） 威胁级别：★★

　　当病毒进入系统后，会将两个病毒文件植入系统盘中，其隐藏目录位于%WINDOWS%system32下，分别为26E07E70.EXE和3DEF2E8.DLL。并且病毒还在各盘中生成AUTO病毒，分别是auto.exe和autorun.inf辅助文件，它们都具有隐藏属性。当用户鼠标左键双击进入有AUTO毒的盘符时，病毒随即触发。随后病毒就修改注册表，创建服务，达到开机自启动的效果。

　　当系统重新启动后，病毒便可自动运行起来，它会将修改系统时间为修改为2005年，使依赖时间的软件全部失效。由于有许多杀毒软件也是依赖系统时间来进行升级和注册，所以用户的系统安全也就毫无疑问的会被降低，容易被其它病毒侵入。

　　随后，该病毒搜索并感染已安装的杀毒软件的可执行文件，并且尝试阻止用户对它进行检查，比如用户使用毒霸的反间谍隐蔽软件扫描时，病毒会突然弹出大量关于伪装成与毒霸相关的网页。由于这些病毒网页打开的的速度极快、数量繁多，系统资源将会被严重占用，最后甚至会挂掉。

　　二、“问道木马213001”（Win32.Troj.Unknown.213001） 威胁级别：★

　　病毒在用户电脑系统里成功运行起来后，就把自己复制到系统盘的%WINDOWS%system32目录，病毒文件有两个，分别为kawdcaz.exe和kawdcaz.bat。然后它把把自己的属性设为系统隐藏，这样就不容易被用户发现。它还会修改注册表，把自己的相关内容加入到里面，达到随系统自动启动之目的。

　　当病毒开始盗号行为前，它会搜索杀毒软件卡巴斯基的报警提示窗口和对话框窗口，如发现卡巴试图向用户报告系统里的可疑行为，就立刻将以上窗口关闭，这样用户就无法知道自己电脑中正在发生的安全问题。

　　解决掉卡巴的“多管闲事”后，病毒就可以顺利地注入到系统桌面进程explorer.exe中，并展开全局搜索和监视，如果发现网络游戏《问道》的进程，便立即通过读取游戏内存的方式盗取其帐号密码等信息，并将其发送到木马种植者指定的地址，给用户造成虚拟财产的损失。

标签： 安全 搜索 网络 问题 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。