"AUTO下载者65536"一字之差冒充系统文件

新客网 XKER.COM 2008-01-28 来源：新客网搜集整理佚名收藏本文

“AUTO下载者65536”（Worm.AutoRun.65536），这是一个下载者病毒。它会在全部磁盘下都生成AUTO病毒，利用U盘等移动设备传播，并分别连接不同的两个网址，下载其它病毒文件到用户电脑中。

“木马下载者23552”（Worm.Downloader.eb.23552），这是一个下载者病毒。其本身并不具备大的危害，但由于会连接到病毒作者指定的网络地址下载其它病毒，因此需要关注。

一、“AUTO下载者65536”（Worm.AutoRun.65536）威胁级别：★

病毒进入用户电脑系统后，将病毒文件systom.exe和Autorun.inf释放到系统盘的%WINDOWS%\system32\目录下，接着就修改注册表中的相关数据，将自己加入启动项，实现随系统的启动而自动运行。

然后，病毒搜索所有的磁盘分区，在它们的根目录下生成AUTO病毒文件Autorun.inf和sos.exe，只要用户双击鼠标左键进入含毒磁盘，病毒就会被激活，再次遍历全部磁盘传播自己。如果用户在中毒电脑上使用U盘等移动设备，病毒也会将其传染，扩大自己的传染范围。

当病毒运行起来后，它会在用户无法知晓的情况下建立远程连接，从病毒作者指定的网址http://www.2**41.com.cn/B*/下载一份最新的病毒地址列表，并将其命名为sos.dll，保存至 %windows%\system32\目录下。随后，通过读取列表中的地址，去下载更多的其它病毒，给用户造成无法估计的损失。

二、“木马下载者23552”（Worm.Downloader.eb.23552）威胁级别：★

病毒进入用户的电脑系统后，将病毒文件usrinit.exe释放到系统盘的%Windows%\system32\目录下，然后在用户无法察觉的情况下迅速建立远程连接，从木马种植者指定的网络地址下载另一个病毒文件，将其命名为“usb32k.sys”，存放到系统盘%WINDOWS%\system32\drivers\目录下。

病毒下载完毕后，会被立即激活，在用户电脑中展开破坏行动。需要注意的是，该病毒是使用生成器自动生成，因此下载病毒的地址并不固定，病毒作者可通过对生成器的升级，不断给它设置新的下载地址。

并且，由于被下载的病毒种类不同，在系统中引起的症状也各有不同，无法一一列举，但无论如何，对该下载者病毒是需要警惕的。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

上一篇：QQ大盗木马后台秘密删除QQ医生程序下一篇：新型XP蠕虫关闭Updates与任务管理器

【收藏】【评论】【推荐】【投稿】【打印】【关闭】