Auto木马群新变种PK金山毒霸2008三维防御体系% R% u9 }9 r' B% n! F- {9 l0 C

. z3 R2 p9 _8 @9 x  I本周auto.exe木马群再度变种，导致未升级到毒霸2008版本的毒霸2007用户毒霸监控无法启动。
) A0 B! C, P7 `. i# J) S5 }: E该木马群近半年内多次大范围感染与多次变种，主要破坏杀毒软件监控、下载并更新盗号木马后台安装广告程序等。
0 t; x: X: L* m7 b* A7 I当该病毒在安装毒霸2007版的电脑上运行后会关闭毒霸07版监控，手工启动毒霸监控时会有短暂的询问提示并一闪而过。如图所示：# y6 g, a& T; m- @

毒霸被关闭1.PNG (6.91 KB)

2007-12-26 00:20

毒霸被关闭2.PNG (1.21 KB)

2007-12-26 00:20

+ f& O4 N! K/ k4 m" q
# U* T1 ~" T1 m1 x7 j" w. ^7 U* f当该病毒在安装毒霸2008版的电脑上运行后毒霸监控依然可以正常工作。如图所示：
) r; b3 r  S. c0 y2 R, q) X

毒霸08图标.PNG (2.45 KB)

2007-12-26 00:20

5 c) z1 o) a& d/ i* `7 Q* o  g+ o7 Y: L! o9 C6 W. F
一般的处理流程：
3 P( |0 ]6 u5 D, D3 h8 q: @升级毒霸到最新，全盘杀毒，此时，应该能发现若干隐蔽软件和病毒，因病毒变种太多，无法保证清除所有AUTO木马群的病毒，但可以结合清理专家的联网安全认证功能，及强大的修复功能协助完成病毒清除和样本上报。$ c9 a% I* N" q3 N  q. G" o

2 t8 j! y6 _) y8 D+ C( b具体步骤请参考下面的内容：
- C1 l2 N$ X% j8 o5 U% s: O7 o3 E  x6 R7 z
本周auto.exe木马群最新变种依然在各个盘符下释放了auto.exe以及autorun.inf文件。
" P1 Z9 [8 V& R6 ]6 f% z6 ]在cmd命令行下查看explorer进程，可清楚地看到该病毒在进程中插入盗号木马线程以及随机dll文件。如图所示：
/ m. j1 f4 N0 @2 H

dll.PNG (24.21 KB)

2007-12-26 00:20

/ j. J( p/ I* y* k7 i$ I8 p- p
* j9 l" i- G( |# n( F9 i% R8 j病毒在%systemroot%目录释放如下主要病毒文件
6 b3 _+ L; ~4 `, v. q2 m; k2 m- g. _

Windows目录.PNG (5.22 KB)

2007-12-26 00:22

; s+ b' }7 S9 ]5 U1 Z: h4 y, T
. K' c# J+ o; l/ D% O病毒在%systemroot%\system32目录释放如下主要病毒文件$ Y, ]/ y( s+ u7 F6 o

. F- B0 y; l1 c8 z+ x! O+ U. o

system32目录.PNG (5.73 KB)

2007-12-26 00:22

% R3 o( v( j# Y6 i% y+ _$ W

; S; u8 _; `: H5 T' U" m6 i/ S
. @! e9 g1 x! D; E/ X! HAuto.exe木马群的处理思路
% V9 }. k' ]- O; }! s  h     由于该木马群频繁变种，导致杀毒软件部分文件不可查。针对此问题，安装毒霸2008的用户建议使用毒霸套装中的金山系统清理专家进行联网检测并提交病毒文件进行分析，以便问题的即时处理。提交病毒文件后尝试安全模式下运行清理专家的恶意软件扫描，将扫描后的恶意软件全选清除一般可以解决大多数可查木马。对于毒霸更新后仍无法处理的个别具有交叉感染的问题主机，可以通过提交清理专家检测报告到毒霸论坛向各路电脑高手寻求解决方案。
  ]$ Q" F; u% ?
3 Z; I/ U  x7 J4 |; R0 ^* b9 H' V* a
  m" P) C, v. V" F  V. f: h具体操作流程如下：
+ w  {; `6 E  v+ v. [+ c联网状态下运行金山系统清理专家，点击『在线系统诊断』如图所示：
4 ^* H0 x  ?, k4 l" m

上传1.PNG (61.87 KB)

2007-12-26 00:22

- j! K4 l) w% _; M
( z; j- z* l! C4 O; K* t联机验证结束后点击『上传所有未知项』根据提示上传未知文件即可。如图所示：1 A, C, k/ c5 P9 T: d0 H

上传2.PNG (22.77 KB)

2007-12-26 00:22

& R* N7 Z. M  L. o/ H; A5 m
6 g' l6 U: t. Q! B! {1 D0 M* a  x如果点击上传文件按钮后没有自动添加文件的话，是由于完全相同的文件已经在服务器上面被其他用户上传，并在后台处理分析中。如图所示：
" V3 X& [* E0 V5 `* s

上传3.PNG (12.65 KB)

2007-12-26 00:22

. C6 N3 N  [: m7 M* @; @- J0 D3 z( h

5 R& B7 u& k6 j& I6 k2 {上传样本文件后重启计算机按F8进入安全模式运行金山清理专家，点击『恶意软件查杀』将扫描到的恶意软件全选清除。如图所示：
$ U$ n$ A5 ^9 D- ?" @# r

清理恶意软件.PNG (57.45 KB)

2007-12-26 00:22

" F# N1 z; h+ ~, |  b

& ]8 \  a$ z& t( @$ c. e/ a0 g清除后重启如果仍然有异常并急需解决的话，请重新运行清理专家的『在线系统诊断』功能。
7 L2 x. C0 w! s, }- R联机验证后点击『导出诊断报告』并确认勾选隐藏已知所有已知安全的项（默认勾选）如图所示：& |5 _2 H) o  r: J' x) a' b

诊断报告1.PNG (62.17 KB)

2007-12-26 00:22

) d# _0 e: N- w- a- M5 }& a4 `( t, G. }1 T. {
导出后记得点击『点击这里』按钮，将保存报告文件到一个可以记忆的磁盘位置。以便提交报告文件进行相应分析。如图所示：) \; v( i7 d# G

诊断报告2.PNG (18.66 KB)

2007-12-26 00:22

9 ^* u6 m0 k* P% Y: ~' |  r9 N# k/ Y& H, k. I
结束语：
% Y/ F% v4 [- F0 H
% `9 v* ^: N# x: a" M6 O毒霸2008的三维防御体系更注重病毒的有效拦截与联网验证，从而提高了因对互联网病毒层出不穷现状的整体能力与反应效率。相信通过毒霸版本的更新换代会使广大毒霸用户得到更好的病毒防护体验。本文以auto.exe木马群为例，讲述了类似问题的处理思路希望对读者有所帮助。; ~/ w: Q/ @# Y5 {4 h3 L: \

/ |, {2 R, n3 |$ `' ]* `$ F$ v4 r
( u. @3 ?! M4 d7 W特别提示：
: c" H" }' a1 m& ]目前金山毒霸2005/2006/2007单机版互联网套装用户的毒霸通行证在服务期限内的话，该通行证仍然可以激活使用金山毒霸2008套装。0 H6 |+ I$ m3 U( |' R( a
注意：安装新版本前一定要卸载之前的毒霸版本以避免冲突。如果由于某些特殊原因无法正常卸载之前的套装版本的话，参考如下卸载方法：) S. t' ^- B5 x# Y
http://bbs.duba.net/thread-21861140-1-7.html8 o1 b% e! F* |
0 h- L" o' r- `
  ?) m, d* z$ ?

& C8 m3 }) q9 W4 ]1 L% k[ 本帖最后由 papa 于 2007-12-28 08:50 编辑 ]

还好``我的是2008的

08的自保护，对目前大多数病毒来说，完全有效，目前可以彻底搞掉毒霸08的病毒程序我还没弄到过。7 c; Z% p% r8 U2 [
7 o8 \% ?6 m: B
自保护，是做出来用的，不是弄出来用冰刃测试的。

开了08的网镖，连酷狗都联不了网

我这里没有啊 看来楼上的是不会用防火墙哈！ 网镖是简体中文的，已经够简单了。如果不会用的话，你装什么防火墙都可能无法联网。干脆安装时就别装了， 为你考虑哦！

2007的就那么倒霉吗?

不知道我中的是不是这个,很象,我也能找出AUTORUN.INF文件$ t' ]- ^& F. F$ o) I) P
把我的360干掉了,由于刚装的系统,毒霸08还没来得及装,现在也装不上了& D- j+ G2 q( ~& n
搞了一大堆处理AUTO的方法和软件,全部是界面闪一下就没了,只留个图案...; |/ O7 \+ u% F& j+ {& W8 `# \6 c
在线杀毒查出一毒东西,可杀完重启再看还在.....0 m4 a/ `+ [: _$ @1 \
我要崩溃了....
) F- I* ~  o' }0 r- v, z不知道是不是这个,我这样该怎么搞呢?

觉得08 的很好啊

虽然没有看懂还是顶哈

那我们07的正版用户,为什么还不尽快升级到08哪.

我已经中了这个病毒，求救,谁可以教教我
% I; [# X: K2 C0 m" A" J" {$ m1 w删不掉 一直有 用恶意软件清理助手查 可以查出来8 U+ R$ u' F0 x4 ~0 ?' O) H
用其他的就查不多来了! s- M8 m, S# r" D3 y
而且也删不掉

幸好我的也是2008版本，^_^

　　本人可能中了他　　，把我搞的快崩溃了，花了整整一夜才干掉它

我中过 不过网上有专杀 搞定了  

我是２００７毒霸．每天杀毒一次．自动升级．为什么还是回有很多垃圾文件．和恶意文件进入．是不是没有２００８的缘故啊．在一个，我的金山漏洞一直有一个漏洞无法修复．而且是严重的漏洞．

顶下了....都用2008的

我顶个

我们这2007老用户可怎么办？