金山毒霸每日病毒预警

“AUTO蠕虫下载器136704”（Win32.Troj.AutoRun.ai.136704），这是一个可利用AUTO技术进行快速传播的下载器程序。它会劫持多款安全软件，并且黑吃黑，删除其它病毒文件。该毒还会破坏系统安全模式，试图阻止用户手动查杀。

“自毁型病毒下载器87552”（Win32.TrojDownloader.CodecPack.h.87552），这是一个下载器程序。它运行后会判断当前是否是在虚拟机里执行，如果是则终止并删除自身，以阻止反病毒厂商的检查。如果是在普通电脑中，则读取指定网页上的病毒下载列表，下载其它病毒并执行。

一、“AUTO蠕虫下载器136704”（Win32.Troj.AutoRun.ai.136704）威胁级别：★★
此毒作案原理较为复杂，它可以同时对用户系统进行劫持安全软件、删除与它抢地盘的其它病毒、破坏系统安全模式，以及下载木马程序等多项操作。

病毒进入系统后就释放出自己的多个文件，路径分别为%ProgramFiles%\CommonFiles\MicrosoftShared\nuwqpgi.exe、%ProgramFiles%\CommonFiles\System\bmjtyxh.exe、%ProgramFiles%\meex.exe。另外，在所有磁盘分区的根目录下，还会有一个fioyitf.exe文件和AUTO文件。这些exe都是病毒的副本，习惯手动查杀的用户必须将它们全部删除。

该毒释放完文件后立即开始运行，它搜索系统中是否有卡巴斯基的进程avp.exe，如有，则修改系统时间为2005年11月15日，导致一来系统时间进行激活和升级的卡巴失效，同时，它如果发现其它主流杀软的进程，也会将它们劫持，令它们都瘫痪。

除劫持安全软件，此毒还会破坏电脑系统的安全模式，试图以此阻止用户进行手动查杀。而要是在用户电脑中发现了其它和自己功能类似的病毒，此毒会将它们删除。由此可见，病毒作者之间的竞争也不小。

用户遇到这种情况，可能会想到杀毒软件厂商的网站求助，但这是不可能的，此毒会监视IE浏览器，只要发现用户登录和系统安全、反病毒相关的网页，就会强行关闭页面。

完成以上步骤后，病毒就读取自己文件中携带的远程地址，在后台悄悄连接，下载多分病毒列表，根据其中的地址去下载更多其它病毒木马，引起无法估计的更大破坏和麻烦。

关于该病毒的详细分析报告，可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-troj-autorun-ai-136704-50863.html

二、“自毁型病毒下载器87552”（Win32.TrojDownloader.CodecPack.h.87552）威胁级别：★
此下载器是个下载器程序，对用户系统的威胁不是很大。不过，病毒作者为躲避反病毒工作者的检查，给它设置了自删除程序。

每次运行之前，该毒首先检查自己是否是在虚拟机里运行，如果是，就说明自己很可能已经落入反病毒工作者手中。这时，病毒会终止自己的进程，并删除自身，来个“死无对证”。

而如果发现自己是在正常的系统中，它便解码自己的一些数据，同时读取用户系统的一些信息，如磁盘大小，计算机名称等。将它们发送到病毒作者指定的远程服务器http://cod****st.com/file.php?id=%lu&adv=%lu，远程服务器会根据这些信息，向其发送相应的病毒列表。这样，这个下载器程序就可以按着列表中的地址开始干活了。

它下载的其它病毒木马，种类和名称多变，但基本都被放置在系统临时目录下。

关于该病毒的详细分析报告，可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-trojdownloader-codecpack-h-87552-50864.html

金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年8月11的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

自毁型，MS实现起来很简单