磁碟机病毒在各安全厂商和媒体的一致喊打声中突然销声匿迹，但这仅仅是盗号集团的暂时退却，很快，我们发现又一类利用配置autorun.inf配置自动运行的木马下载者蜂涌而至，同样，这些疯狂的下载者，可一次性下载20-30个盗号木马，用户的电脑将面临又一次蹂躏。

以下是这两天极度猖獗的AUTO病毒最新变种的分析报告：

一．行为概述
该EXE是病毒下载器，它会：
1） 参考系统C盘卷序列号来算出服务名，EXE 和DLL 的文件名。
2） 在每一个驱动器下放置AUTO病毒autorun.inf 和自身副本auto.exe 并加系统和隐藏属性。
3） 在系统system32 下放置自身副本“随机名.exe ”和释放出来的“随机名.dll” 并将它们伪装成具有隐藏属性的系统文件。
4） 修改系统键值，将系统隐藏文件选项删除，造成用户无法查看隐藏起来的病毒文件。
5） 修改系统注册表，将自己注册为服务开机启动。
6） 搜索注册表启动项里是否有“360”字符串键值，有了删除，并用ntsd 关闭程序，搜索窗口是否含有“金山毒霸”，有了模拟操作关闭。判断进程里是否有卡巴斯基的文件AVP.EXE， 有则修改系统时间，使得卡巴失效。
7） 通过网站文件列表下载其它病毒。
8） 删除该病毒以前版本遗留的注册表信息。
9） “随机名.dll” 会远程注入系统进程中的所有进程

二．执行流程
1． 参考C 盘卷序列号的数值算出8 位随机的服务名，exe 和dll 的文件名。（还记得AV终结者吗？最开始出来就是随机8位数文件名的EXE）
2． 搜索当前文件名是不是auto.exe，若是调用explorer.exe ShellExecuteA 打开驱动器。
3． 对抗杀毒软件：
搜索注册表启动项里是否有“360”字符串键值，有则删除，使得360以后都无法自动启动。并紧接着关闭已启动的360程序。
检查当前进程中有没有卡巴斯基的进程AVP.EXE ，有的话修改系统时间，令依赖系统时间进行激活和升级的卡巴失效。
病毒还会试图关闭金山毒霸它查找毒霸的监视提示窗口"KAVStart" ，找到后通过PostMessageA 发送CLOSE 消息，然后用FindWindowExA 搜索"金山毒霸" 通过SendMessageA 发送关闭消息，以及模拟用户，发送点击鼠标按键消息关闭。不过，经测试以上方法都不能关闭金山毒霸。

4． 比较当前文件运行路径是不是在系统SYSTEM32 下的随机名，不是则复制自身副本到系统SYSTEM32 。

5． 将DLL注入系统进程，运行之后释放det.bat 删除自身

6． 病毒文件注入explorer.exe 或winlogon.exe 循环等待,利用它们的空间运行自己，实现隐蔽运行。

7． 查找启动项里是否有包含360 的字符串，有了删除，并用SeDebugPrivilege 提升权限和ntsd 关闭程序，搜索窗口是否含有“金山毒霸”，有了模拟操作关闭。

8．篡改注册表中关于文件夹显示状态的相关数据，将系统隐藏文件选项删除。

9． 病毒查找老版本的自己留下的注册表信息，将其删除，便于进行升级。

10． 从病毒作者指定的地址http://33.xi***id*8.cn/soft/update.txt 下载病毒列表，根据列表信息去下载其它病毒，每次下载一个，运行后删除，再接着下载。

在它下载的病毒文件中，有木马自己的升级文件和某国际知名品牌的网络语音通讯软件，另外还包含17个针对不同知名网游的盗号木马，而在这些木马中，有一些其本身也具备下载功能。如果它们成功进入电脑，将引发无法估计的更大破坏。

11．除在本机上进行盗号，病毒还将自己的AUTO病毒文件auto.exe 和autorun.inf 释放到每一个磁盘分区里。autorun.inf 指向auto.exe。只要用户用鼠标双击含毒磁盘，病毒就会立即运行，搜索包含U盘等移动存储器在内的全部磁盘，如果发现有哪个磁盘尚未中毒，就立刻将 其感染，扩大自己的传染范围。

三．删除方法
由于病毒DLL 文件远程注入包括系统进程在内的所有进程，采取直接删除的办法是无法彻底清楚的，必须删除DLL，同时删除服务，重起，在进行扫尾删除，由于该病毒换算需要大量时间，在刚开机时不能马上释放DLL 进行注入，此时也是清除的最佳时机。

建议用户使用金山清理专家将这些随机8位数命名的DLL和EXE，添加到文件粉碎器的删除列表，将这些文件一次性彻底删除。重启后，再修复残留的注册表加载项。

实例中，只用清理专家清除恶意软件就完全搞定了这个病毒，原因在昨晚清理专家已经针对这个新Auto木马群更新了特征，省了不少事儿。

详情参考：
新Auto病毒感染清除实例