新AUTO病毒變種　專殺卡巴斯基殺毒軟體

【賽迪網-IT技術報道】「PE遠程後門844800」（PE.PECrypt.ze），這是一個PE病毒，它會感染Windows下所有的PE格式文件。病毒作者為病毒代碼設置了加密，使病毒特徵無法定位，試圖以此阻止安全軟體對它進行查殺。當它感染完文件後，就會釋放出木馬文件並執行，在用戶電腦上製造後門，便於黑客入侵。

「AUTO病毒15598」（Win32.Troj.AutoRunT.ad.15598），這是一個下載者病毒。它會查找並關閉安全軟體的提示窗口。如果用戶電腦中安裝有殺毒軟體卡巴斯基，病毒會修改系統日期，使卡巴失效。然後，它會下載病毒文件，並在系統上的每個硬碟下生成 autorun.inf 文件，擴散自己的傳播範圍。

一、「PE遠程後門844800」（PE.PECrypt.ze） 威脅級別：★

PE的意思是可移植的執行體，即portable executable，這是Windows下廣泛存在的一個32位的文件格式，PE病毒指的自然也就是感染這類文件的病毒。由於需要自己設置比較複雜的函數調用方式，PE病毒成為一些病毒作者用以炫耀自己技術的產品，在這樣的情況下，PE病毒層出不窮。

毒霸的反病毒工程師昨日處理的病毒中，就有一個PE病毒。它傳播的方式是隨著被感染的文件進入用戶電腦，而當用戶運行被感染的文件時，就會將其激活。

病毒被激活後，會立即運行起來。它將被感染的文件重新拆成正常文件和自己的病毒文件~ZY7.tmp，並把它們釋放到系統臨時文件夾中運行。由於文件會正常運行，用戶一般難以發現自己電腦已經中毒。而這時，那個獨立的病毒文件除了會搜尋別的正常文件進行感染外，還會試圖打開用戶的系統後門。原來，它是一個遠程控制後門程序。當病毒成功開啟後門，木馬種植者（黑客）就能遠程控制用戶的電腦，進行任何想要的系統操作，甚至盜取用戶的個人隱私和商業資料。

經毒霸反病毒工程師的分析，被感染後的文件入口地址被改到最後一個節表的病毒代碼處執行，關鍵病毒代碼被加密，前面一段代碼就是解密後面的加密指令。病毒作者試圖以此阻止安全軟體的查殺，但毒霸仍可徹底清除該毒，因此已安裝毒霸的用戶們大可放心。不過，還是要再次提醒大家，在進行下載和接收他人從網上發來的文件時，最好用殺毒軟體進行一下掃瞄，防止感染型病毒的潛入。

二、「AUTO病毒15598」（Win32.Troj.AutoRunT.ad.15598） 威脅級別：★

隨著USB隨身碟等移動儲存設備價格降低，越來越多人養成隨身攜帶USB隨身碟的習慣，一些病毒作者看準這一點，製作出大量可利用USB隨身碟傳播的AUTO病毒。在毒霸反病毒分析師昨日處理的病毒中，就有不少AUTO病毒，我們選出其中傳播傾向較高的一個，為大家介紹其破壞原理。

此病毒進入系統後，在%Windows%/system32/目錄下釋放出一個隱藏屬性的病毒文件Dser.exe ，為防止用戶恢復文件顯示模式後發現該文件，病毒還將這個文件偽裝成「系統」文件，試圖迷惑用戶。

接著，它判斷系統盤%Windows%/system32/drivers/目錄下是否有 klif.sys 這個文件。這個文件其實是殺毒軟體卡巴斯基的一部分，如果病毒找到這個文件，就會修改當前系統時間為 1981-01-12 ，令依賴系統時間進行升級和激活的卡巴斯基失效。

病毒繼續運行。它創建線程，查找窗口標題名為「IE 執行保護」、「IE執行保護」、「瑞星卡卡上網安全助手 - IE防漏牆」的窗口。如發現，則向其發送鼠標消息，模擬用戶點擊鼠標發出的命令，將其關閉。以阻止用戶獲知系統中的異常。

在病毒運行的後期，它在後台悄悄連接http:/ /www.8**ao***mm.bj.cn 這個由木馬種植者指定的地址，下載一批名稱為 123.exe 至 128.exe 編號的木馬文件，給用戶的系統安全引來更多無法估計的威脅。

此外，為擴大傳染範圍，病毒在電腦的每個硬碟分區下都創建AUTO病毒文件 autorun.inf 和 Dser.exe，只要用戶雙擊硬碟或在中毒電腦上使用USB隨身碟等移動儲存設備，病毒就會被再次激活，搜尋所有硬碟進行感染。

毒霸反病毒分析師建議用戶利用清理專家中的自動運行管理工具，關閉移動設備的自動運行，這樣可以極大地阻止病毒利用USB隨身碟進行傳播。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(