磁碟机病毒在各安全厂商和媒体的一致喊打声中突然销声匿迹，但这仅仅是盗号集团的暂时退却，很快，我们发现又一类利用配置autorun.inf配置自动运行的木马下载者蜂涌而至，同样，这些疯狂的下载者，可一次性下载20-30个盗号木马，用户的电脑将面临又一次蹂躏。

　　以下是这两天极度猖獗的AUTO病毒最新变种的分析报告：

　　一．行为概述

　　该EXE是病毒下载器，它会：

　　1） 参考系统C盘卷序列号来算出服务名，EXE 和DLL 的文件名。

　　2） 在每一个驱动器下放置AUTO病毒autorun.inf 和自身副本auto.exe 并加系统和隐藏属性。

　　3） 在系统system32 下放置自身副本“随机名.exe 和释放出来的“随机名.dll 并将它们伪装成具有隐藏属性的系统文件。

　　4） 修改系统键值，将系统隐藏文件选项删除，造成用户无法查看隐藏起来的病毒文件。

　　5） 修改系统注册表，将自己注册为服务开机启动。

　　6） 搜索注册表启动项里是否有“360字符串键值，有了删除，并用ntsd 关闭程序，搜索窗口是否含有“金山毒霸，有了模拟操作关闭。判断进程里是否有卡巴斯基的文件AVP.EXE， 有则修改系统时间，使得卡巴失效。

　　7） 通过网站文件列表下载其它病毒。

　　8） 删除该病毒以前版本遗留的注册表信息。

　　9） “随机名.dll 会远程注入系统进程中的所有进程

　　二．执行流程

　　1． 参考C 盘卷序列号的数值算出8 位随机的服务名，exe 和dll 的文件名。（还记得AV终结者吗？最开始出来就是随机8位数文件名的EXE）

　　2． 搜索当前文件名是不是auto.exe，若是调用explorer.exe ShellExecuteA 打开驱动器。

　　3． 对抗杀毒软件：

　　搜索注册表启动项里是否有“360字符串键值，有则删除，使得360以后都无法自动启动。并紧接着关闭已启动的360程序。

　　检查当前进程中有没有卡巴斯基的进程AVP.EXE ，有的话修改系统时间，令依赖系统时间进行激活和升级的卡巴失效。

　　病毒还会试图关闭金山毒霸它查找毒霸的监视提示窗口"KAVStart" ，找到后通过PostMessageA 发送CLOSE 消息，然后用FindWindowExA 搜索"金山毒霸" 通过SendMessageA 发送关闭消息，以及模拟用户，发送点击鼠标按键消息关闭。不过，经测试以上方法都不能关闭金山毒霸。

　　4． 比较当前文件运行路径是不是在系统SYSTEM32 下的随机名，不是则复制自身副本到系统SYSTEM32 。

　　5． 将DLL注入系统进程，运行之后释放det.bat 删除自身

　　6． 病毒文件注入explorer.exe 或winlogon.exe 循环等待,利用它们的空间运行自己，实现隐蔽运行。

　　7． 查找启动项里是否有包含360 的字符串，有了删除，并用SeDebugPrivilege 提升权限和ntsd 关闭程序，搜索窗口是否含有“金山毒霸，有了模拟操作关闭。

　　8．篡改注册表中关于文件夹显示状态的相关数据，将系统隐藏文件选项删除。

　　9． 病毒查找老版本的自己留下的注册表信息，将其删除，便于进行升级。

　　10． 从病毒作者指定的地址http://33.xi***id*8.cn/soft/update.txt 下载病毒列表，根据列表信息去下载其它病毒，每次下载一个，运行后删除，再接着下载。

　　在它下载的病毒文件中，有木马自己的升级文件和某国际知名品牌的网络语音通讯软件，另外还包含17个针对不同知名网游的盗号木马，而在这些木马中，有一些其本身也具备下载功能。如果它们成功进入电脑，将引发无法估计的更大破坏。

　　11．除在本机上进行盗号，病毒还将自己的AUTO病毒文件auto.exe 和autorun.inf 释放到每一个磁盘分区里。autorun.inf 指向auto.exe。只要用户用鼠标双击含毒磁盘，病毒就会立即运行，搜索包含U盘等移动存储器在内的全部磁盘，如果发现有哪个磁盘尚未中毒，就立刻将其感染，扩大自己的传染范围。

　　三．删除方法

　　由于病毒DLL 文件远程注入包括系统进程在内的所有进程，采取直接删除的办法是无法彻底清楚的，必须删除DLL，同时删除服务，重起，在进行扫尾删除，由于该病毒换算需要大量时间，在刚开机时不能马上释放DLL 进行注入，此时也是清除的最佳时机。

　　建议用户使用金山清理专家将这些随机8位数命名的DLL和EXE，添加到文件粉碎器的删除列表，将这些文件一次性彻底删除。重启后，再修复残留的注册表加载项。

　　四．Auto病毒专杀工具

　　auto木马群专杀1.4功能：

　　1、对映像劫持的处理

　　2、对使毒霸监控变灰的msosXXX病毒的处理

　　3、对auto木马群下载者处理

　　4、对Appinit_Dlls处理

　　5、对执行挂钩的处理

　　下载金山AUTO木马群专杀工具：http://www.q.cc/2008/03/31/11261.html

　　第一招：拥有U盾高枕无忧

　　U盾(个人网上银行客户证书)是中国工商银行率先推出并获得国家专利、专门用于保护网上银行客户安全的“智能卫士。如果客户已经申请了U盾，只要保管好自己手中的U盾及其密码，就可以高枕无忧，简单、安全地使用网上银行，不用再担心黑客、假网站、木马病毒等各种风险隐患。

　　第二招：预留信息验证

　　“预留信息验证是中国工商银行为帮助客户有效识别银行网站、防范不法分子利用假网站进行网上诈骗的一项服务。客户可以在银行预先记录一段文字(即“预留信息)，当客户登录中国工商银行个人网上银行、在购物网站进行在线支付或在线签订委托代扣协议时，网页上会自动显示客户的预留信息，以便客户验证该网站是否为真实的工商银行网站。如果网页上没有显示预留信息或显示的信息与客户的预留信息不符，便可以确认该网站是假网站。

　　第三招：输入正确网址登录

　　建议客户手工输入正确网址登录中国工商银行网站，并将之添加到IE浏览器的“收藏夹中，方便下次使用。不要通过超级链接访问中国工商银行网站。

　　中国工商银行门户网站地址：http://www.icbc.com.cn;中国工商银行个人网上银行登录地址：https：//mybank.icbc.com.cn/icbc/perbank/index.jsp。　

　　第四招：核对网址

　　建议客户在登录中国工商银行网上银行或进行在线支付时，留意核对所登录的网址与中国工商银行公布的网址是否相符，谨防不法分子恶意模仿中国工商银行网站，骗取客户信息。中国工商银行个人网上银行登录页面和在线支付页面的网址均以https：//mybank.icbc.com.cn开头。

　　第五招：查看安全锁

　　中国工商银行个人网上银行登录页面和网上支付页面都经过128位SSL加密处理，在打开上述页面时，在IE浏览器右下角状态栏上会显示一个“挂锁图形的安全证书标识。点击挂锁，应显示如下信息：

　　颁发给：mybank.icbc.com.cn颁发者：www.verisign.com/CPSIn-corp.byRef.LIABILITYLTD.(c)97VeriSign中国工商银行商城频道

　　第六招：分辨电子商务网站真伪

　　客户进行在线支付时，如无法辨别电子商务网站的真伪，也可登录中国工商银行网站的商城频道，查询该电子商务网站是否开通中国工商银行在线支付服务。此外，请客户牢记，真正的工商银行在线支付页面首先会提示客户输入支付卡号和验证码;客户正确输入相关信息后，会显示客户在中国工商银行的预留信息供客户核对;如果客户核对返回的信息有误或有疑问时，应马上停止操作并致电95588;如果核对返回信息无误，U盾客户可以按照系统提示插入U盾输入密码完成支付，口令卡客户应按照系统提示的两个坐标，输入口令卡上对应坐标密码完成支付。

　　需要特别注意的是，每一次在线支付时，中国工商银行系统只会给出两个坐标要求客户输入。如网站要求客户一次输入两个以上的坐标口令，请客户提高警惕，并致电中国工商银行客户热线95588进行确认。

　　第七招：健全软件

　　建议客户为个人电脑安装防火墙程序，并经常升级，防止个人账户信息遭到黑客窃取。此外，为防止他人利用软件漏洞进入计算机窃取资料，建议客户还应及时更新下载Windows操作系统的补丁程序。

　　第八招：提高警惕

　　中国工商银行网站由专业部门管理，运行稳定，一般情况下不会出现“系统维护的提示。若遇重大事件，系统必须暂停服务时，都会提前通过门户网站、95588服务电话等渠道公告客户，但绝对不会通过邮件、短信、电话等方式要求客户到指定的网页修改密码。此外，银行在任何情况下都不会以邮件、短信、电话等方式通知客户中奖，并要求客户在领取奖金前先支付税金、邮费等。如客户接到此类电子邮件、短信或电话等异常情况，请直接拨打中国工商银行客户服务电话95588联系、举报。

　　ARP欺骗(地址解析协议欺骗)是一种存在于局域网中的恶意欺骗攻击行为，如果进行“ARP欺骗的恶意木马程序入侵某个局域网中的计算机系统，那么该系统就会试图通过ARP攻击手段截获所在局域网络内其他计算机系统的通信信息，导致该局域网出现突然掉线，过一段时间后又会恢复正常的现象。同时，网内的其他计算机系统也会受到影响，出现IP地址冲突、频繁断网、IE浏览器频繁出错以及系统