7日病毒预报：盗号木马兴风作浪 小心AUTO地鼠器

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在明天的病毒中“AUTO地鼠器”和“网游盗号木马102400”都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆“AUTO地鼠器”病毒进入电脑系统后，在系统盘中释放出海量的病毒文件，难以一一罗列，但主要集中在%windows%、%windows%\Fonts\syn00-0C-29-71-51-1F\等目录下。随后，病毒立即修改系统时间为2018年，使卡巴斯基等依赖依赖系统时间进行激活和升级的杀毒软件失效。同时，它搜索并破坏毒霸的数据，使毒霸也无法正常运行。当用户试图使用毒霸时，会发现无法将其调用，只会弹出个一闪而过的DOS窗口。

与此同时，病毒纂改注册表，添加了8个病毒启动项，分别是1a、smss、upxdnd、WSockDrv32、cmdbcs、DbgHlp32、AVPSrv、LotusHlp，然后开始疯狂的下载活动。它根据自带的病毒下载列表，从木马种植者指定的多个远程服务器下载海量其它病毒文件，如果使用金山清理专家扫描恶意软件可发现它下载的大部分病毒是盗号木马，其中包括最近名声非常恶劣的“机器狗”。随着进入电脑的木马越来越多，系统资源会被病毒严重占用，直至瘫痪。

除进行下载外，此病毒还在各磁盘分区中生成隐藏的AUTO病毒，分别是ntldr.exe病毒文件和autorun.inf辅助文件。被AUTO病毒占领的分区，通过左键双击已无法打开，并且只要用户在中毒电脑上使用U盘等移动存储设备，病毒就会将其传染，扩大自己的传染范围。

对于此病毒，用户需要注意路径“%windows%\Fonts\syn00-0C-29-71-51-1F\system”。病毒为隐藏自己在此目录下的文件，会使用户在找到Fonts文件夹之后，就进不去“syn00-0C-29-71-51-1F”往下的文件夹，但大家如果直接在地址栏输入整个路径，就可以进去了。这些病毒文件找到后并不容易删除，因为已经注入到某些进程里了，但可以依赖毒霸的粉碎器根据其路径粉碎掉对应病毒文件，或者进入安全模式进行删除。

◆“网游盗号木马102400”病毒进入用户电脑后，在系统盘中释放出两个病毒文件，分别为%WINDOWS%\目录下的DbgHlp32.exe和%WINDOWS%\system32\目录下的DbgHlp32.dll。随后，它修改系统注册表，将自己的相关信息写入其中，实现开机自启动。

病毒如成功运行起来，首先会查找并关闭杀毒软件卡巴斯基和瑞星的监视窗口程序，阻止它们向用户报告系统中发生的异常情况。

接着，病毒注入系统桌面进程explorer.exe，查找网络游戏《大话西游3》、《破天一剑》、《剑侠情缘2》、《征服》、《魔域》和“浩方对战平台”的进程，通过内存读取的方式盗取用户的帐号信息。并悄悄连接木马种植者指定的多个远程服务器，上传偷来的信息，给用户造成虚拟财产的损失。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，金山的病毒库均已更新，并能查杀上述病毒。感谢金山毒霸为51CTO安全频道提供病毒信息。

【相关文章】

• 更多病毒日报

• 更多病毒周报