最新AUTO病毒变种分析和解决方案
病毒全名 Win32.Troj.AutoRun.te.v
病毒长度 89280
威胁级别 ★★
中文名称 AUTO特务89280
病毒类型 木马下载器
病毒简介
这是一个AUTO病毒。病毒成功运行后,会在各盘中生成具有隐藏属性的AUTO病毒,注册表被病毒修改后,具有隐藏属性的文件无法查看。众多启动项被病毒删除,包括杀软、系统的启动项,这样会导致机器重启后,杀软失效,使用户机器安全性大大降低。而且该病毒还有破坏安全模式、下载病毒的功能。
标志:AUTO病毒、隐藏文件、破坏安全模式、ARP欺骗。
病毒行为
1.病毒运行后,生成以下病毒文件
%temp%\RarSFX0 (系统临时文件,开始、运行、输入%temp%可打开该文件夹, 可使用清理专家的垃圾文件清理功能删除,删除不掉的文件, 可能是正在运行中。) %windows%\system32\Com\LSASS.EXE %windows%\system32\Com\netcfg.000 %windows%\system32\Com\netcfg.dll %windows%\system32\Com\SMSS.EXE %Local Settings%\Temporary Internet Files\Content.IE5\EC5UKR17\r[1].htm %Local Settings%\Temporary Internet Files\Content.IE5\GR8I0NOH\CAYNKA2Y.HTM |
2.在各盘中生成AUTO病毒,包括病毒文件pagefile.pif和autorun.inf辅助文件,都具有隐藏属性。
3.病毒会修改注册表,使系统的隐藏功能失效,用户无法操控,只要具有隐藏属性的文件将无法显示。
4.查看启动项,异常的发现启动项中许多系统启动项都被自动删除,包括毒霸的启动项。
5.由于启动项被删除,再使用反间谍的隐蔽软件扫描,也就可以看到有两个隐蔽软件,分别是:"异常的autorun.inf"和"Broken SafeBoot",Broken SafeBoot很明显是破坏安全模式的,这样会使用户中了该病毒以后无法进入安全模式。
6.该病毒还会引发ARP欺骗,导致在同一局域望网内的机器都有被欺骗的可能,明显的症状是:网络时常断开,会有病毒下载到总ARP的机器。
解决方案:
1.将以下文件使用清理专家彻底删除
%temp%\RarSFX0(系统临时文件,开始、运行、输入%temp%可打开该文件夹, 可使用清理专家的垃圾文件清理功能删除,删除不掉的文件,可能是正在运行中。) %windows%\system32\Com\LSASS.EXE(下面这4个文件可以用清理专家的粉碎器搞定) %windows%\system32\Com\netcfg.000 %windows%\system32\Com\netcfg.dll %windows%\system32\Com\SMSS.EXE %Local Settings%\Temporary Internet Files\Content.IE5\EC5UKR17\r[1].htm (病毒藏在IE缓存文件夹中,清理专家清理垃圾文件或删除隐 私信息的功能也可以快速清空该文件夹) %Local Settings%\Temporary Internet Files\Content.IE5\GR8I0NOH\CAYNKA2Y.HTM |
2.重启电脑,再运行清理专家,在系统修复中,把引用以上几个文件的加载项全部清除。
3.清理专家的恶意软件查杀功能,可以同时修复被破坏的安全模式。
预防措施:
1.AUTO类病毒,都是利用移动存储介质的自动播放功能传播的。强烈建议使用金山清理专家或毒霸禁用自动播放功能。
2.修补操作系统漏洞、IE漏洞、常用播放器的漏洞,防止病毒通过系统漏洞入侵。
3.及时升级杀毒软件。
病毒全名 Win32.Troj.AutoRun.te.v
病毒长度 89280
威胁级别 ★★
中文名称 AUTO特务89280
病毒类型 木马下载器
病毒简介
这是一个AUTO病毒。病毒成功运行后,会在各盘中生成具有隐藏属性的AUTO病毒,注册表被病毒修改后,具有隐藏属性的文件无法查看。众多启动项被病毒删除,包括杀软、系统的启动项,这样会导致机器重启后,杀软失效,使用户机器安全性大大降低。而且该病毒还有破坏安全模式、下载病毒的功能。
标志:AUTO病毒、隐藏文件、破坏安全模式、ARP欺骗。
病毒行为
1.病毒运行后,生成以下病毒文件
%temp%\RarSFX0 (系统临时文件,开始、运行、输入%temp%可打开该文件夹, 可使用清理专家的垃圾文件清理功能删除,删除不掉的文件, 可能是正在运行中。) %windows%\system32\Com\LSASS.EXE %windows%\system32\Com\netcfg.000 %windows%\system32\Com\netcfg.dll %windows%\system32\Com\SMSS.EXE %Local Settings%\Temporary Internet Files\Content.IE5\EC5UKR17\r[1].htm %Local Settings%\Temporary Internet Files\Content.IE5\GR8I0NOH\CAYNKA2Y.HTM |
2.在各盘中生成AUTO病毒,包括病毒文件pagefile.pif和autorun.inf辅助文件,都具有隐藏属性。
3.病毒会修改注册表,使系统的隐藏功能失效,用户无法操控,只要具有隐藏属性的文件将无法显示。
4.查看启动项,异常的发现启动项中许多系统启动项都被自动删除,包括毒霸的启动项。
5.由于启动项被删除,再使用反间谍的隐蔽软件扫描,也就可以看到有两个隐蔽软件,分别是:"异常的autorun.inf"和"Broken SafeBoot",Broken SafeBoot很明显是破坏安全模式的,这样会使用户中了该病毒以后无法进入安全模式。
6.该病毒还会引发ARP欺骗,导致在同一局域望网内的机器都有被欺骗的可能,明显的症状是:网络时常断开,会有病毒下载到总ARP的机器。
解决方案:
1.将以下文件使用清理专家彻底删除
%temp%\RarSFX0(系统临时文件,开始、运行、输入%temp%可打开该文件夹, 可使用清理专家的垃圾文件清理功能删除,删除不掉的文件,可能是正在运行中。) %windows%\system32\Com\LSASS.EXE(下面这4个文件可以用清理专家的粉碎器搞定) %windows%\system32\Com\netcfg.000 %windows%\system32\Com\netcfg.dll %windows%\system32\Com\SMSS.EXE %Local Settings%\Temporary Internet Files\Content.IE5\EC5UKR17\r[1].htm (病毒藏在IE缓存文件夹中,清理专家清理垃圾文件或删除隐 私信息的功能也可以快速清空该文件夹) %Local Settings%\Temporary Internet Files\Content.IE5\GR8I0NOH\CAYNKA2Y.HTM |
2.重启电脑,再运行清理专家,在系统修复中,把引用以上几个文件的加载项全部清除。
3.清理专家的恶意软件查杀功能,可以同时修复被破坏的安全模式。
预防措施:
1.AUTO类病毒,都是利用移动存储介质的自动播放功能传播的。强烈建议使用金山清理专家或毒霸禁用自动播放功能。
2.修补操作系统漏洞、IE漏洞、常用播放器的漏洞,防止病毒通过系统漏洞入侵。
3.及时升级杀毒软件。
三
最新AUTO病毒变种分析和解决方案相关推荐
- U盘(auto病毒)类病毒分析与解决方案(zt)
内容: U盘(auto病毒)类病毒分析与解决方案 来自大成天下 [@more@] U盘(auto病毒)类病毒分析与解决方案 出处:数据安全实验室 (DSW Lab Avert 小组) 日期:2007年 ...
- 最新AUTO病毒变种(Win32.Troj.AutoRun.te.v)的分析和解决方案
病毒全名 Win32.Troj.AutoRun.te.v 病毒长度 89280 威胁级别 ★★ 中文名称 AUTO特务89280 病毒类型 木马下载器 病毒简介 这是一个AUTO病毒.病毒成功运行后, ...
- U盘(auto病毒)类病毒分析与解决方案
一.U盘病毒简述: U盘(自动运行)类病毒(auto病毒)近来非常常见,并且具有一定程度危害,它的机理是依赖Windows的自动运行功能,使得我们在点击打开磁盘的时候,自动执行相关的文件.目前我们使用 ...
- AUTO病毒变种(Win32.Troj.AutoRun.te.v)
from:[url]http://hi.baidu.com/litiejun/blog/item/d554e99523367b48d1135e84.html[/url] 病毒全名 Win32.Tr ...
- 2019年4月最新勒索病毒样本分析及数据恢复
1. satan病毒升级变种satan_pro 特征:.satan_pro 后缀 勒索邮箱:satan_pro@mail.ru evopro@protonmail.com 等 2.YYYYBJQOQD ...
- 2019年5月最新勒索病毒样本分析及数据恢复
1.GANDCRAB病毒 病毒版本:GANDCRAB V5.2 中毒特征:<原文件名>.随机字符串 勒索信息:随机字符串-MANUAL.txt 特征示例: readme.txt.pfdjj ...
- Crysis病毒变种-在文件末尾添家.wallet后缀
勒索病毒CrySis病毒变种分析报告-加密文件后缀.wallet 一.样本简介 CrySiS勒索病毒在2017年5月万能密钥被公布之后,消失了一段时间,最近又发现这类勒索病毒的新的变种比较活跃,攻击方 ...
- 360安全卫士大战“病毒之王”——最新磁碟机变种
ps: 前天,一朋友的电脑也是这种情况,任何的杀软都不能打开,一打开就是找不到文件,没油办法打开,我拿到电脑后首先安装了江民2008(丁香鱼提供),能够启动,并且查杀了几个病毒.然后把江民卸载,安装了 ...
- 关于最新Solidworks2018大型装配设计、仿真渲染并行计算卡顿慢的分析与解决方案
关于最新Solidworks2018大型装配设计.仿真渲染并行计算卡顿慢的分析与解决方案 (一)三维设计与仿真并行计算的卡顿慢问题分析 Solidworks是CAD专业领域 ...
最新文章
- java 对象被回收的例子_Java对象的后事处理——垃圾回收(二)
- PNAS:土壤氮循环微生物功能特征的全球生物地理学
- python matplotlib.pyplot.show() plt.show()(显示一个图表)
- pwa程序,清单文件测试有效,为什么不起效果?
- Spring Data JDBC通用DAO实现–迄今为止最轻量的ORM
- JavaScript覆盖率统计实现
- Android开发常用的插件及工具
- sparkSession常见参数设置
- 7个免费强大的Ajax文件管理器
- element table根据条件隐藏复选框
- 10 个实战与面试【常用 Shell 脚本】编写
- java编程求原码,补码_java语言基础(原码反码补码)
- 如何正确跟踪广告转化数据,优化广告投放效果?
- 【15】蓝桥杯之史丰收速算(程序填空题)
- 《富爸爸穷爸爸》--读书笔记(5)-2020
- Sping aop XML与注解方式
- 帆软使用技巧之使用填报报表
- Android入门第十四篇之画图
- Android的绘画软件,可以画漫画的软件有那些?你们要的安卓绘画软件,拿走吧!...
- 用LU_ASR语音控制板和Arduinonano做一个桌面老婆(1)
热门文章
- Windows编程基础 - 概述
- c语言程序输入中能不能输入中文,如何在C语言中输入中文?
- .net framework 4.5 未指定的错误
- make: *** [out/target/product/generic/obj/SHARED_LIBRARIES/libstagefright_intermediates/OMXCodec.o]
- 推荐Java反编译工具luyten、jd-gui
- Ubuntu 16.04添加新硬盘操作流程
- VB读UTF8中文乱码问题
- Spring 测试(第一部分)
- NC运维人员拓展知识 之 开发工具入门(一)
- TAP---资料整合----Good Luck!