"AUTO地鼠器"勾結"機器狗"　隱藏自身路徑

「AUTO地鼠器」（Win32.Troj.AutoRunT.up.151552），這是一個AUTO病毒。該病毒會下載許多其它的病毒文件，並且利用修改系統時間和篡改資料等方法，破壞一些著名殺軟的正常運行。藏有AUTO病毒的硬碟分區會無法打開，系統也會被病毒嚴重佔用資源，甚至癱瘓。該病毒還會下載眾多盜號木馬，其中包括名聲惡劣的「機器狗」。此外，該病毒聰明地隱藏自己的路徑，使得用戶不容易找到它，並且即便找到也不易刪除。

「網游盜號木馬102400」（Win32.Troj.OnlineGames.py.102400），這是一個網游盜號木馬。它會關閉卡巴斯基和瑞星的監視窗口，不讓用戶知道系統中發生的異常。然後通過記憶體讀取的方式盜取網絡遊戲《大話西遊3》、《破天一劍》、《劍俠情緣2》、《征服》、《魔域》和「浩方對戰平台」的賬號信息。

一、「AUTO地鼠器」（Win32.Troj.AutoRunT.up.151552） 威脅級別：★★

病毒進入電腦系統後，在系統盤中釋放出海量的病毒文件，難以一一羅列，但主要集中在%windows%、%windows%/Fonts/syn00-0C-29-71-51-1F/等目錄下。隨後，病毒立即修改系統時間為2018年，使卡巴斯基等依賴依賴系統時間進行激活和升級的殺毒軟體失效。同時，它搜索並破壞毒霸的資料，使毒霸也無法正常運行。當用戶試圖使用毒霸時，會發現無法將其調用，只會彈出個一閃而過的DOS窗口。

與此同時，病毒纂改註冊表，添加了8個病毒啟動項，分別是1a、smss、upxdnd、WSockDrv32、cmdbcs、DbgHlp32、AVPSrv、LotusHlp，然後開始瘋狂的下載活動。它根據自帶的病毒下載列表，從木馬種植者指定的多個遠程伺服器下載海量其它病毒文件，如果使用金山清理專家掃瞄惡意軟體可發現它下載的大部分病毒是盜號木馬，其中包括最近名聲非常惡劣的「機器狗」。隨著進入電腦的木馬越來越多，系統資源會被病毒嚴重佔用，直至癱瘓。

除進行下載外，此病毒還在各硬碟分區中生成隱藏的AUTO病毒，分別是ntldr.exe病毒文件和autorun.inf輔助文件。被AUTO病毒佔領的分區，通過左鍵雙擊已無法打開，並且只要用戶在中毒電腦上使用USB隨身碟等移動儲存設備，病毒就會將其傳染，擴大自己的傳染範圍。

對於此病毒，用戶需要注意路徑「%windows%/Fonts/syn00-0C-29-71-51-1F/system」。病毒為隱藏自己在此目錄下的文件，會使用戶在找到Fonts文件夾之後，就進不去「syn00-0C-29-71-51-1F」往下的文件夾，但大家如果直接在地址欄輸入整個路徑，就可以進去了。這些病毒文件找到後並不容易刪除，因為已經注入到某些進程裡了，但可以依賴毒霸的粉碎器根據其路徑粉碎掉對應病毒文件，或者進入安全模式進行刪除。

二、「網游盜號木馬102400」（Win32.Troj.OnlineGames.py.102400） 威脅級別：★

病毒進入用戶電腦後，在系統盤中釋放出兩個病毒文件，分別為%WINDOWS%/目錄下的DbgHlp32.exe和%WINDOWS%/system32/目錄下的DbgHlp32.dll。隨後，它修改系統註冊表，將自己的相關信息寫入其中，實現開機自啟動。

病毒如成功運行起來，首先會查找並關閉殺毒軟體卡巴斯基和瑞星的監視窗口程序，阻止它們向用戶報告系統中發生的異常情況。

接著，病毒注入系統桌面進程explorer.exe，查找網絡遊戲《大話西遊3》、《破天一劍》、《劍俠情緣2》、《征服》、《魔域》和「浩方對戰平台」的進程，通過記憶體讀取的方式盜取用戶的賬號信息。並悄悄連接木馬種植者指定的多個遠程伺服器，上傳偷來的信息，給用戶造成虛擬財產的損失。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

金山毒霸反病毒應急中心及時進行了病毒庫更新，升級毒霸到2008年3月6的病毒庫即可查殺以上病毒；如未安裝金山毒霸，可以登錄http://www.duba.net免費下載最新版金山毒霸2008或使用金山毒霸在線殺毒來防止病毒入侵。撥打金山毒霸反病毒急救電話010－82331816，反病毒專家將為您提供幫助。

(