局域网瘫痪原凶：最大毒枭“AUTO”现变种

来源：pcdog 作者：佚名出处：巧巧读书 2008-01-12 进入讨论组

　　金山毒霸全球反病毒监测中心发布周(1.7-1.13)病毒预警，近日，新年第一大毒枭“AUTO病毒”再生新变种，该病毒运行后用户电脑系统资源将被严重占用，系统将无法正常操作;并且病毒还会不断向局域网内的其它计算机发送ARP欺骗包，使局域网的网络出现堵塞，甚至瘫痪现象，

给用户的网络财产安全带来严重威胁。

　　金山毒霸反病毒专家戴光剑表示，“AUTO病毒”新变种可在系统盘的许多重要文件夹下，孳生大量盗号类木马。运行成功后，会立即对电脑系统中的EXE可执行文件创建映像劫持，一旦劫持成功，用户电脑上包括着名杀毒软件和安全辅助软件在内的全部程序将无法正常运行，为潜伏在用户电脑内的盗号木马作案大开方便之门。而用户若想启动电脑中的程序，其结果只是再次激活病毒。

　　戴光剑分析指出，该病毒进入用户系统后，在系统%windows%\font\system\目录下释放出病毒文件ati2evxx.exe，然后立即生成一个ntldr.exe.bat文件删除自己的原始文件，使用户无法找到病毒源头。接着，病毒在各磁盘分区的根目录下生成AUTO病毒文件ntldr.exe和autorun.inf。

　　当用户鼠标左键双击打开含有AUTO病毒的盘符时，病毒就会随之触发。特别注意的是，如果用户在中毒电脑上使用U盘等移动存储器，那么无论是否点击含毒磁盘，病毒都会立即发作，将移动存储器感染，借以扩大自己的传播范围。

　　据了解，本周内广大电脑用户除了需要警惕“AUTO病毒”之外，还需要特别警惕“李鬼卡巴42492”(Worm.AutoRun.42492)与“乌鸦喝水4678”(JS.fullexploit.ca.4678)两大病毒。前者运行后将自动搜索杀毒软件卡巴斯基的进程，如果找到，立即修改系统时间为1981-01-12，导致依赖系统时间卡巴斯基失效，然后，病毒就会试图删除卡巴斯基的服务。后者则利用网页挂马的方式进行传播，如果用户浏览被它挂马的网站，系统就会立即被感染。病毒进入用户系统后，会搜索百度搜霸工具条、超星阅读器、联众游戏、暴风影音、realplayer、迅雷等多种网络软件的进程，发现后对它们进行检查，看是否存在安全漏洞。如果有，病毒就会立即产生大量数据信息，制造溢出事件。

静态页面：http://www.qqread.com/virus/i392576.html