9月7日病毒预警 auto病毒再次危害用户

作者：中关村在线 蔺晓峰

　　"灰鸽子变种vx"(Win32.Hack.Huigezi.vx.1478656)这是一个后门类病毒，是灰鸽子的变种。

　　"auto海量下载器"(Win32.Troj.AuroRun.20480)这是一个木马，会大量下载病毒文件以及在各盘中生成AUTO病毒。
 
    一、"灰鸽子变种vx"(Win32.Hack.Huigezi.vx.1478656)   威胁级别：★

    病毒运行后衍生病毒文件到系统目录下，修改注册表，创建服务，并以服务的方式达到随机启动的目的;病毒运行后可远程控制用户机器。

　　1.生成文件
%Windir%\Hacker.com.cn.exe

　　2.生成服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker    
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker
Type = dword:00000110
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker
Start = dword:00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker
ErrorControl = dword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker
ImagePath = hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,48,61,63,6b,65,72,2e,63,6f,6d,2e,63,6e,2e,65,78,65,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker
DisplayName = "GrayPigeon_Hacker"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker
Description = "GrayPigeon_Hacker"

　　3.

病毒运行后会在%Windir%下生成一个"uninstal.bat"的批处理文件，用于实现自删除.

    二、"auto海量下载器"(Win32.Troj.AuroRun.20480)   威胁级别：★

　　该病毒运行后，只要用户一打开浏览器，病毒文件将会迅速下载拷贝到系统目录下，并且在各盘符中都生成AUTO病毒，
使用户不经意触发病毒。病毒会自动运行，并且占用系统资源。
 
　　1.病毒运行后，会产生以下病毒文件。
 各盘中都产生autorun.inf和io病毒文件，当用户左键双击时便触发病毒。

　　2.当用户打开浏览器时，大量病毒文件会被下载并且运行，严重占用系统资源。
 
　　金山反病毒工程师建议
 
    1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报， 这样才能真正保障计算机的安全。

    2.玩

网络游戏、利用QQ聊天的用户会有所增多，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

    金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2007年9月6日的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2007或使用金山毒霸在线杀毒来防止病毒入侵，拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。