Autorun病毒样例分析

　　一、感染症状

　　1、每个盘符下生成隐藏文件autorun.inf 、auto.exe

　　2、在c:\windows\system32下生成30F3CB56.exe、A89F7741.DLL文件，其中A89F7741.DLL为病毒下载器

　　3、新增服务：651085B(c:\windows\system32\30F3CB56.EXE)

　　4、更改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

　　Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值为0，阻止显示隐藏文件

　　5、下载木马病毒到c:\windows、c:\windows\system32、 IE缓存等文件夹，病毒文件修改日期较新，无公司签名。

　　Autorun病毒有若干变种，不同变种的autorun病毒下载的木马病毒文件也不相同；同一autorun病毒在不同时间、不同电脑感染时所下载的木马病毒也有可能不同，病毒发布者只需更换互联网上的木马病毒链接即可实现新木马病毒的快速传播，这也增加了杀毒软件全部查杀autorun病毒下载的所有木马病毒的难度。

　　6、新增注册表启动项：

　　\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run

　　二、手动清除

　　若V3不能全部查杀时，可按以下步骤手动处理：

　　1、重启系统按F5键进安全模式；

　　2、更改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

　　Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值为1；

　　3、删除注册表项\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\651085B

　　4、更改文件夹选项，显示所有文件和文件夹

　　5、在各磁盘分区上点右键—打开，将各分区下的auto.exe、autorun.inf文件备份后删除；

　　6、将c:\windows、c:\windows\system32文件夹中的文件按修改时间排序，在修改时间较新的文件中确认病毒文件，备份后删除；

　　7、将IE缓存文件夹中的文件按类型排序后，将可执行文件备份后删除；

　　8、删除注册表中病毒相关的启动项：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run；

　　9、重新启动系统，确认各分区下未再次生成autorun.inf、auto.exe；

　　10、将备份的病毒文件加密码virus压缩成zip格式发送到suppoort@ahn.com.cn。

　　三、Autorun病毒的预防

　　1、关闭自动播放

　　点“开始”→“运行”，在对话框中输入“gpedit.msc” ，“确定”，在组策略“计算机配置”→“管理模板”→“系统”，双击“关闭自动播放”，在“设置”中选“已启用”，“关闭自动播放：所有驱动器”，确定；

　　2、在各磁盘分区、优盘分别建立名为autorun.inf、auto.exe的文件夹，阻止生成autorun.inf和auto.exe病毒文件；

　　3、培养良好的电脑使用习惯，使用“右键-打开”打开磁盘分区，从而避免双击打开优盘及磁盘分区时触发autorun病毒；对外来优盘、下载的文件查杀病毒后再使用；避免访问非法网站、个人网站等危险站点。