一个新的AUTO病毒（毒霸07不能加载的看这里） [复制链接]

病毒名:Win32.Hack.Popwin.ai.18474
病毒体大小:18,474 字节
病毒类型:木马
病毒危害程度:一般(1星)

Tag:AutoRun,随机,下载恶意软件

病毒行为

这是一个可通过移动硬盘传播的病毒,通过修改系统年份使卡巴斯基杀毒软件失效,查找窗口关闭金山毒霸.
会从指定的网址上下载大量恶意软件在用户计算机上.一切病毒相关的服务名和文件名都是随机的.

释放以下病毒文件:
%systemroot%\system32\83816DBD.EXE(文件名随机)
%systemroot%\system32\D7A48A2F.DLL(文件名随机)

在每个盘的根目录下生成病毒文件 auto.exe 和病毒辅助文件 autorun.inf,达到通过双击盘符就自动运行病毒文件 auto.exe的目的.

病毒是根据已内定的某些字符与获取用户电脑上的C盘的卷序列号进行计算,得出随机文件名.

枚举计算机进程,如发现 avp.exe(卡巴斯基),则修改系统年份为 2005 使其失去作用.

通过查找窗口的方法,如发现窗口标题为"金山毒霸"的则发送消息关闭.

病毒在联网状态下会读取某网址下的 update.txt 获取其它恶意软件的下载地址,获取完下载保存在用户计算机上并运行.

创建注册启动项:(注意:服务名也是随机)
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\265E9253
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\265E9253Description"D7A48A2F"
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\265E9253DisplayName"265E9253"
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\265E9253ImagePath"%systemroot%\system32\83816DBD.EXE -k"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\265E9253
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\265E9253ImagePath"%systemroot%\system32\83816DBD.EXE -k"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\265E9253DisplayName"265E9253"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\265E9253Description"D7A48A2F"

解决方案：
1.直接打开资源管理器，找到金山毒霸2007安装目录下的uplive.exe，双击升级到最新版本。毒霸2008不会被关闭。
2.升级后，重启系统到安全模式，全面杀毒。

手动解决：
1.根据清理专家2.1系统修复下的加载项提示，找到那些随机字串的文件，很容易看到。再把各磁盘根目录下的auto.exe找到，一起添加到百宝箱中彻底删除的列表，彻底删除后，重启。
2.再次启动清理专家，用系统修复，把这些病毒修改的加载项修复掉。

有关金山清理专家2.1的用途，参考：
清理专家简易手册
http://bbs.duba.net/thread-21830227-1-1.html

AUTO, 加载

以后毒霸专注于：金山毒霸、金山卫士，请大家继续支持我们吧:-)

铁军

上将(管理员)

Rank: 26

铜钱: 16043
元宝: 400
威望: 43880
积分: 22852

发表于 2007-11-28 17:20:18 |显示全部楼层

原帖由 hy99024 于 2007-11-28 11:46 发表
是不是还会随机生成大量的CMD。EXE

可能和你说的不完全一致，现在这种东西的变种太多了

以后毒霸专注于：金山毒霸、金山卫士，请大家继续支持我们吧:-)

水晶王子

荣誉版主

武侠路-我的社区

Rank: 22

铜钱: 2025
元宝: 5
威望: 4601
积分: 2468

发表于 2007-11-28 18:56:11 |显示全部楼层

恩，谢谢军哥，看了~毒霸反映就是强啊~~

qiao2896

三级士官长

金山影像奖

Rank: 7 Rank: 7 Rank: 7

铜钱: 1748
元宝: 0
威望: 2858
积分: 1262

发表于 2007-11-28 20:04:25 |显示全部楼层

很有用的帖子～～～

http://qiao2896.blogcn.com

KSDC0165862

中士

Rank: 5 Rank: 5

铜钱: 572
元宝: 0
威望: 1041
积分: 538

发表于 2007-11-29 08:43:41 |显示全部楼层

学习了

不要着急，最好的总会在最不经意的时候出现。

虫师

中士

Rank: 5 Rank: 5

铜钱: 325
元宝: 0
威望: 712
积分: 405

发表于 2007-11-29 10:49:25 |显示全部楼层

现在的病毒确实是越来越强了。

yuexueyang

列兵

Rank: 2

铜钱: 81
元宝: 0
威望: 211
积分: 94

发表于 2007-11-29 13:56:14 |显示全部楼层

今天刚给我们单位的会计处理掉一些病毒，现在一对照和楼主的描述还真是一模一样，会计用的是卡巴，手动清除加卡巴总算是好了。

OICQ452612285

采编组

神之传奇

铜钱: 1483
元宝: 0
威望: 5154
积分: 2635

发表于 2007-11-29 16:22:09 |显示全部楼层

快到春节拉啊！
那时候就是考验三大杀毒厂商的时候了！

虽然是菜鸟`````；但,总会成大虾的!
曾经，国产手机让我心痛；现在，国产奶粉让我心痛；未来，中国让我心痛！！！

282204495

一级士官长

潜水艇水手

Rank: 9 Rank: 9 Rank: 9

铜钱: 1615
元宝: 141
威望: 4193
积分: 2123

发表于 2007-11-29 19:18:56 |显示全部楼层

不能结束毒霸2008{78}

gingerzhou

下士

Rank: 4

铜钱: 166
元宝: 2
威望: 388
积分: 233

发表于 2007-11-29 20:53:02 |显示全部楼层

呵呵，今天遇到两个朋友中了这个把年份改到2005年的auto病毒
但是我发现这个病毒还算留了点青山
1.安全模式没有被破坏（这个使我觉得非常庆幸）
2.虽然毒霸2007无法自动加载，但是带网络连接的安全模式下升级后照样可以用
3.对毒霸2008由于自我保护，没有遭到破坏。
4.一定要用金山清理专家清理系统，否则杀毒会不全面的，这个auto.exe会下载许多其他的恶意软件和病毒。
总之有惊无险。

13847348886

Rank: 1

铜钱: 10
元宝: 0
威望: 17
积分: 9

发表于 2007-11-30 02:00:55 |显示全部楼层

求救

管理员在吗求救

13847348886

Rank: 1

铜钱: 10
元宝: 0
威望: 17
积分: 9

发表于 2007-11-30 02:02:03 |显示全部楼层

管理员在不

liuyanping

Rank: 1

铜钱: 21
元宝: 0
威望: 45
积分: 25

发表于 2007-11-30 17:14:31 |显示全部楼层

看不懂啊!

13847348886

Rank: 1

铜钱: 10
元宝: 0
威望: 17
积分: 9

发表于 2007-11-30 18:54:05 |显示全部楼层

菜鸟求救根目录是什么?

huruochen203

上校

一个爱国分子

Rank: 15

铜钱: 201
元宝: 271
威望: 15385
积分: 7119

发表于 2007-11-30 20:05:34 |显示全部楼层

学习

liuzhifei00

Rank: 1

铜钱: 11
元宝: 0
威望: 16
积分: 8

发表于 2007-11-30 21:44:24 |显示全部楼层

顶! 学习乐!{78}

987456y

Rank: 1

铜钱: 31
元宝: 0
威望: 41
积分: 29

发表于 2007-11-30 22:18:03 |显示全部楼层

下载新版的毒载.使用带网络链接的安全模式启动计算机,安装毒霸后升级至最新版,全面查杀就可以了.

aiya2003

Rank: 1

铜钱: 8
元宝: 0
威望: 13
积分: 6

发表于 2007-12-1 02:24:39 |显示全部楼层

55555555555555555
就是这个AUTO害苦我了啊
55555
我用的是07的.整来不能加载了,然后杀了..再开机.又还有..
最后整来重装07都不能正常运行,
索性还原系统.
但是刚才又来了,.还弹出一个什么瑞的那个网络广告的页面..
怕怕怕..
下午的时候用了下.08的,但是好象在CPU的太多了点吧