以下的文章主要向大家介紹的是AUTO病毒變種的詳細分析，這是一個AUTO病毒。它具有十分可怕的“功能”在病毒成功運行之后，其會在各盤中生成具有隱藏屬性的AUTO病毒，注冊表被病毒修改后，具有隱藏屬性的文件無法查看。

眾多啟動項被病毒刪除，包括殺軟、系統的啟動項，這樣會導致機器重啟后，殺軟失效，使用戶機器安全性大大降低。而且該病毒還有破壞安全模式、下載病毒的功能。

病毒全名　Win32.Troj.AutoRun.te.v

病毒長度　89280

威脅級別　★★

中文名稱　AUTO特務89280

病毒類型　木馬下載器

病毒簡介

這是一個AUTO病毒。病毒成功運行后，會在各盤中生成具有隱藏屬性的AUTO病毒，注冊表被病毒修改后，具有隱藏屬性的文件無法查看。眾多啟動項被病毒刪除，包括殺軟、系統的啟動項，這樣會導致機器重啟后，殺軟失效，使用戶機器安全性大大降低。而且該病毒還有破壞安全模式、下載病毒的功能。

病毒行為

1.病毒運行后，生成以下病毒文件

%temp%\RarSFX0

(系統臨時文件，開始、運行、輸入%temp%可打開該文件夾，

可使用清理專家的垃圾文件清理功能刪除，刪除不掉的文件，

可能是正在運行中。)

%windows%\system32\Com\LSASS.EXE

%windows%\system32\Com\netcfg.000

%windows%\system32\Com\netcfg.dll

%windows%\system32\Com\SMSS.EXE

%Local Settings%\Temporary Internet Files\Content.IE5\EC5UKR17\r[1].htm

%Local Settings%\Temporary Internet Files\Content.IE5\GR8I0NOH\CAYNKA2Y.HTM

2.在各盤中生成AUTO病毒，包括病毒文件pagefile.pif和autorun.inf輔助文件，都具有隱藏屬性。

3.病毒會修改注冊表，使系統的隱藏功能失效，用戶無法操控，只要具有隱藏屬性的文件將無法顯示。

4.查看啟動項，異常的發現啟動項中許多系統啟動項都被自動刪除，包括毒霸的啟動項。

5.由于啟動項被刪除，再使用反間諜的隱蔽軟件掃描，也就可以看到有兩個隱蔽軟件，分別是："異常的autorun.inf"和"Broken SafeBoot"，Broken SafeBoot很明顯是破壞安全模式的，這樣會使用戶中了該病毒以后無法進入安全模式。

6.該病毒還會引發ARP欺騙，導致在同一局域望網內的機器都有被欺騙的可能，明顯的癥狀是：網絡時常斷開，會有病毒下載到總ARP的機器。

【編輯推薦】

1. 安全專家遭遇難纏auto病毒　被迫重裝系統
2. 專家解讀新Auto病毒木馬下載器感染清除
3. 金山1月第2周病毒預報:AUTO病毒再生新變種
4. 最新AUTO病毒變種分析和解決方案
5. 金山12月第3周病毒預報：“AUTO病毒”大肆攻擊系統盤