AV终结者变种突袭 恶心莲蓬下载器来犯

    “AV终结者变种106496”（Win32.Troj.AVKiller.ex.106496），这是一个AV终结者的最新变种。它会劫持大部分安全软件，破坏安全模式，还会释放出传染性极高的Auto病毒，借以扩大自己的传播范围。
 
    “恶心莲蓬下载器”（Worm.AutoRuns.m），这是一个木马下载者风险程序。该病毒会在硬盘各个分区的根目录下生成AUTO病毒，并严重破坏系统文件，然后下载大量木马文件。

    一、“AV终结者变种106496”（Win32.Troj.AVKiller.ex.106496）  威胁级别：★★

    AV终结者又一次成为了毒霸反病毒工程师们注意的目标。在近日统计的病毒传播趋势资料中，AV终结者的一个变种显得十分活跃，这也许与有人故意进行传播有关。

    该病毒进入系统后执行的操作，与以前的版本基本无异，都是先释放出病毒文件，然后修改系统注册表实现自动启动，并紧接着执行映象劫持，将用户系统中安装的安全软件弄瘫痪，以便于病毒以后的破坏操作。病毒释放出的文件wuauc1t.exe和sssurl.dll会被伪装成系统文件，隐藏在%WINDOWS%根目录下。

    为防止用户进行手动查杀，病毒修改注册表中的相关数据，使中毒电脑无法显示隐藏的文件和系统文件，这样一来，当病毒把自己伪装成系统文件并设置隐藏模式后，用户就无法找到它们。同时，病毒还会禁止用户进入安全模式和打开注册表编辑器，以便长久地在电脑中驻留下去。并且，病毒会在每一个磁盘分区的根目录下生成一个explorer.exe文件和AUTORUN.INF文件，当用户在中毒电脑上使用U盘等移动存储设备时，病毒就会趁机将其感染。

    最后，病注入系统桌面进程和其它非系统进程中，隐蔽地运行自己，从病毒作者指定的地址下载大量盗号木马，将用户系统中有价值的信息盗窃一空，引发无法估计的损失。

    二、“恶心莲蓬下载器”（Worm.AutoRuns.m）  威胁级别：★★

    这个病毒是一个木马下载器的变种。它在系统中运行起来后，会释放出数量惊人的病毒文件，这些病毒文件都集中在系统盘中，其中大部分位于%windows%\system32\目录下。如果用户看到那长长的文件列表，并饱尝该毒的伤害，会觉得像看了近来网上流行的“莲蓬图”一般恶心。

    在释放文件的同时，病毒会感染硬盘中全部的的.exe、.htm、html文件，并删除%windows%\system32\目录下的系统补丁文件verclsid.exe，让自己接下来的破坏更顺利。接着，病毒替换掉%windows%目录下的系统桌面进程explorer.exe。

    在病毒释放出的若干文件中，%windows%\system32\目录下的75132.dat和%windows%\system32\目录下的urjuujdw.hew，值得注意。这两个进程相互配合，指挥%windows%\system32\目录下的msosdohs00.dll和%windows%\system32\目录下的msosdohs01.dll插入系统核心进程、explorer.exe进程以及包括安全软件在内的所有应用程序进程。执行破坏还原保护、关闭防火墙、破坏系统监视软件、阻止用户进入桌面、安装恶意插件等动作。

    最后，病毒链接病毒作者指定的远程地址，下载27个病毒文件。其中包括由0至25的数字命名的exe文件，以及一个名为oko.exe的文件。经毒霸反病毒工程师的分析，这些文件都是盗号木马，如果成功进入电脑，将引起无法估计的更大损失。

    此外，病毒还在硬盘各个分区的根目录下生成AUTO病毒MSDOS.BAT和autorun.inf，当用户在中毒电脑上使用移动存储设备时，就传染上去，实现更大规模的传播。如果用户运行MSDOS.BAT，病毒就会悄悄访问病毒作者指定的地址http://58.*3.1*8.37，下载大量病毒。