安天五月第2周病毒报告:AutoIt病毒极度嚣张

图

【51CTO.com 综合消息】本周第一位：   

Worm/Win32.AutoIt.r该病毒运行后，获取kernel32.dll基址，动态获取大量API函数地址，动态加载系统库文件uxtheme.dll，调用该库文件的"IsThemeActive"函数，获取系统版本号，动态加载系统库文件kernel32.dll，调用该库文件的IsWow64Process函数，查看操作系统是32位还是64位，获取系统版本信息之后释放到kernel32.dll,试图更改桌面壁纸，检测是否被处理调试状态，如果是则调用MessageBox弹出以下信息："This is a compiled AutoIt script. AV researchers please email avsupport@autoitscript.com for support."，调用SHGetDesktopFolder函数获得桌面文件夹的IShellFolder接口，注册一个窗口类名"AutoIt v3 GUI"及消息句柄"TaskbarCreated"，完成之后创建隐藏的窗口，调用函数创建一个WORD图标的托盘，调用函数进入消息循环一直到接收到WM_NULL则跳出循环，拷贝自身到%System32%目录下备份多个病毒副本，分别重命名为fjwfbnyobd.exe、bomlfdbivbryevg.exe、iabzajxe.exe、ogwcoyjfpfnjn.exe（全部为随机病毒名），并将属性全部隐藏，在%System32%目录下创建一个名为mydoc.rtf的WORD文件，调用函数创建大量病毒进程，循环打开多个mydoc.rtf文件，使系统速度大大下降，该病毒一旦运行之后将无法结束其进程直到系统资源耗尽导致死机。

重点关注：

Trojan/Win32.Agent.aofn[Dropper]。该病毒为木马类，该病毒图标为windows系统垃圾回收站图标，并且有完整的版本信息，其公司名为“360安全卫士”；病毒完全运行后，首先在%system32%目录下复制自身、释放注册表导入文件添加映像劫持，其目的是躲避杀软的主动防御；在%Windir%\Cursors下释放taskmgr.exe，并运行，用以迷惑用户误认为任务管理器进程，并分别在%Windir%\Cursors和%Windir%\system32\wbem目录进行本体备份；通过修改注册表添加病毒启动项和服务项，其中服务项名为“Microsoft Vista”，发行商为“360安全卫士”，并在描述中用“系统登陆初始界面，终止该服务将导致系统不能正常登陆”字样迷惑用户，使其不敢轻易终止该服务项；该病毒还通过修改注册表，使其在开关机时达到病毒自动运行的目的；病毒完全运行后删除自身；连接网络下载病毒文件；下载病毒中包含木马下载者类病毒会下载大量病毒，甚至导致计算机死机。

专家建议：  

1.在任务管理器中查看是否有陌生以及可疑的进程存在。  

2.安装安天防线反病毒软件。  

3.及时打全系统补丁。   

4.及时关注各种应用软件的漏洞并及时更新到应用软件的最新版本。   

5.在需要输入游戏账号信息时，打开安天防线反病毒软件的实时监控功能。  

6.注意经常更新安天防线反病毒软件的病毒库来阻止被病毒感染。

手动查杀方法：

针对以上病毒，其病毒变种非常之多。其应用技术各不相同所以没有一个固定的手动查杀方法， 只能告诉用户一些基本的杀毒方法,针对微软XP用户：

1.断开网络连接，进行以下操作。

2.在“运行”中输入“msconfig”分别点击“启动”与“服务”标签。

3.查看是否有陌生程序的启动项，有则找到对应位置，使用安天防线反病毒软件查杀或手动删除。

4.打开“文件夹选项”中的查看隐藏文件等选项，这样可以看到隐藏的病毒体。如看不到隐藏文件表明注册表中显示隐藏文件项被修改，解决办法使用安天防线反病毒软件扫描或者手动修改。

5.对于使用移动设备时，请先用右键点击查看，是否有“自动运行”项，如有，在使用前用安天防线反病毒软件扫描。

下周病毒预测：   

从本周的趋势观察，及据安天实验室捕获统计， 具有盗取能力的木马类和感染能力的病毒和蠕虫总体都有所上升，同时病毒类和蠕虫类也会伴有窃取用户信息的能力，提醒广大用户注意个人信息的保密，同时请用户及时升级病毒库，预防此类病毒侵袭。

专家预防建议：  

1.建立良好的安全习惯，不打开可疑邮件和可疑网站。   

2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。   

3.使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。   

4.现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。   

5.安装专业的防毒软件升级到最新版本，并开启实时监控功能。   

6.为本机管理员帐号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。   

7.不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。  

8.下载软件后应用使用安天防线反病毒软件进行查杀，然后进行使用。