病毒名称：auto木马群

病毒中文名：auto木马群

病毒描述：AUTO木马群并非一个病毒，而是一群具有相似特征的下载器病毒。由于是群体作案，所以危害比磁碟机更甚。中毒症状强行修改进程，致使安全软件失效毫无查觉下自动连网，下载木马,窃取隐私篡改文件无法被还原，极难彻底清除通过软件漏洞和ARP攻击传播，致局域网瘫痪。传播途径：U盘/移动硬盘/数码存储卡传播；各种木马下载器之间相互传播 ；通过恶意网站下载；通过感染文件传播通过内网ARP攻击传播

清除auto木马群；修复“映像劫持”；修复Appinit_Dlls；清除msosXXX病毒。

AUTO病毒最新变种的分析报告：

　　一．行为概述

　　该EXE是病毒下载器，它会：

　　1）参考系统C盘卷序列号来算出服务名，EXE和DLL的文件名。

　　2）在每一个驱动器下放置AUTO病毒autorun.inf和自身副本auto.exe并加系统和隐藏属性。

　　3）在系统system32下放置自身副本“随机名.exe”例如：1.exe 或 2.exe 或 3.exe 或4.exe 或 5.exe 或 6.exe 或 7.exe 或 8.exe 或9.exe 或 10.exe 和释放出来的“随机名.dll”并将它们伪装成具有隐藏属性的系统文件。

　　4）修改系统键值，将系统隐藏文件选项删除，造成用户无法查看隐藏起来的病毒文件。

　　5）修改系统注册表，将自己注册为服务开机启动。

　　6）搜索注册表启动项里是否有“360”字符串键值，有了删除，并用ntsd关闭程序，搜索窗口是否含有“金山毒霸”，有了模拟操作关闭。判断进程里是否有卡巴斯基的文件AVP.EXE，有则修改系统时间，使得卡巴失效。

　　7）通过网站文件列表下载其它病毒。

　　8）删除该病毒以前版本遗留的注册表信息。

　　9）“随机名.dll”会远程注入系统进程中的所有进程

　　二．执行流程

　　1．参考C盘卷序列号的数值算出8位随机的服务名，exe和dll的文件名。（还记得AV终结者吗？最开始出来就是随机8位数文件名的EXE）

　　2．搜索当前文件名是不是auto.exe，若是调用explorer.exeShellExecuteA打开驱动器。

　　3．对抗杀毒软件：

　　搜索注册表启动项里是否有“360”字符串键值，有则删除，使得360以后都无法自动启动。并紧接着关闭已启动的360程序。

　　检查当前进程中有没有卡巴斯基的进程AVP.EXE，有的话修改系统时间，令依赖系统时间进行激活和升级的卡巴失效。

　　病毒还会试图关闭金山毒霸它查找毒霸的监视提示窗口”KAVStart”，找到后通过PostMessageA发送CLOSE消息，然后用FindWindowExA搜索”金山毒霸”通过SendMessageA发送关闭消息，以及模拟用户，发送点击鼠标按键消息关闭。不过，经测试以上方法都不能关闭金山毒霸。

　　4．比较当前文件运行路径是不是在系统SYSTEM32下的随机名，不是则复制自身副本到系统SYSTEM32。

　　5．将DLL注入系统进程，运行之后释放det.bat删除自身

　　6．病毒文件注入explorer.exe或winlogon.exe循环等待，利用它们的空间运行自己，实现隐蔽运行。

　　7．查找启动项里是否有包含360的字符串，有了删除，并用SeDebugPrivilege提升权限和ntsd关闭程序，搜索窗口是否含有“金山毒霸”，有了模拟操作关闭。

　　8．篡改注册表中关于文件夹显示状态的相关数据，将系统隐藏文件选项删除。

　　9．病毒查找老版本的自己留下的注册表信息，将其删除，便于进行升级。

　　10．从病毒作者指定的地址http：//xxxx/xxxx/update.txt下载病毒列表，根据列表信息去下载其它病毒，每次下载一个，运行后删除，再接着下载。

　　在它下载的病毒文件中，有木马自己的升级文件和某国际知名品牌的网络语音通讯软件，另外还包含17个针对不同知名网游的盗号木马，而在这些木马中，有一些其本身也具备下载功能。如果它们成功进入电脑，将引发无法估计的更大破坏。

　　11．除在本机上进行盗号，病毒还将自己的AUTO病毒文件auto.exe和autorun.inf释放到每一个磁盘分区里。autorun.inf指向auto.exe。只要用户用鼠标双击含毒磁盘，病毒就会立即运行，搜索包含U盘等移动存储器在内的全部磁盘，如果发现有哪个磁盘尚未中毒，就立刻将其感染，扩大自己的传染范围。