AUTO病毒携ARP木马来袭

那一年像风

　　一、“AUTO病毒126976”（Win32.Troj.AutoRun.126976） 威胁级别：★★

　　病毒进入电脑系统后，会在%windows%\system32\目录下释放出病毒文件26E07E70.EXE、3DEF2E8.DLL、llk1133861483、n1133861485k.exe，并在全部磁盘中生成AUTO病毒，分别是auto.exe病毒文件和autorun.inf辅助文件。如果用户双击进入有AUTO病毒的盘符时，病毒就会再次被触发。要想清除掉它们，必须右键打开该盘，然后才能将其删除。

　　在生成的病毒文件中，有一个名为update[1].txt的文本文件，它隐藏得很深，地址在%Documents and Settings%\用户名\Local Settings\Temporary Internet Files\Content.IE5\EC5UKR17\目录下，病毒可通过该文本文件中的信息，获知从何处下载最新版本的其它病毒。不过，根据该列表下载的病毒，毒霸都可查杀。

　　同该文本文件一起生成的还有%Documents and Settings%\用户名\Local Settings\Temporary Internet Files\Content.IE5\GR8I0NOH\路径下的f2b4657b5568d072[1].exe病毒文件。

　　病毒文件释放完毕后，病毒就会修改注册表，添加许多病毒启动项，并修改系统时间，使依赖系统时间的杀软失效。当系统重启后，这些病毒项就会随系统的启动而运行起来。由于系统资源被病毒大量占用，电脑的运行速度会明显变慢。如果使用反间谍隐蔽软件扫描，会发现在系统盘的许多重要文件夹下，都已经有以盗号木马为主的病毒在其中孳生。并且，还能发现许多由病毒伪装出来的毒霸相关网页。

　　二、“ARP骗子86016”（Win32.Troj.VcingARP.a.86016） 威胁级别：★★

　　此病毒顺利进入系统后，会在%windows%\system32\drivers\目录下释放出病毒文件alg.exe，然后连接百度主页，以测试网络是否通畅，如果发现网络是接通的，便开始破坏行为。这个过程，一般用户无法察觉，只有安装了防火墙且防范级别较高，才会收到提示。

　　病毒运行后，就开始向局域网内的各台成员机发送大量的ARP欺骗代码，称本机器才是网关，从而影响各成员机的数据收发，拖慢局域网。刚开始时，只是网速略微变慢，但很快，这种“慢”就会变得让人无法忍受，最后整个局域网甚至会瘫痪掉。如果局域网内的用户想访问互联网，在打开任何网页时，都会出现莫名其妙的Google广告。

　　而如果病毒发现局域网内用户试图通过点击浏览器下载文件时，就会截获下载地址，并其重定向到病毒下载地址。要是用户不注意检查下载文件的名称，就有可能误下载其它病毒文件，给电脑系统的安全造成更大威胁。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报， 这样才能真正保障计算机的安全。

　　2.玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

<