AUTO病毒增强伪装性　生成大量假微软文件

　　“AUTO卡机病毒”（Win32.Troj.Delf.1082542），这是一个AUTO病毒。该病毒生成大量伪装成微软文件的病毒文件。病毒运行后会造成计算机运行速度明显变慢，并破坏杀软卡巴斯基的正常使用。它还会从网络中下载大量脚本病毒到IE缓存和IE历史记录里，导致用户在打开网页时，毒霸不停地报病毒。而且还会造成用户无法重启或关闭系统。

　　“刀剑盗号木马”（Win32.Troj.OnlineGames.dz.77824），这是一个盗号木马。病毒运行后创建注册表启动项，以达到开机自启动。并创建线程，不断修改注册表，禁止系统自动更新和关闭系统防火墙，然后通过内存读写的方式盗取客户计算机上网络游戏《刀剑》的账号信息。

　　一、“AUTO卡机病毒”（Win32.Troj.Delf.1082542） 威胁级别：★★

　　这是一个AUTO病毒，其最大特点就是具有较强的伪装性。病毒运行成功后，会在系统各盘中生成AUTO病毒文件，AUTO病毒分别是iexplore.exe和autorun.inf辅助文件。另外，还会在%windows%目录下生成一个伪装的QQ.exe文件。接下来，病毒修改系统日期为2000年，使杀毒软件软卡巴斯基的激活码失效，无法正常杀毒，造成用户计算机系统的安全性大大降低。

　　当用户使用鼠标左键双击进入有AUTO病毒的盘符时，会无法打开该盘并触发该病毒。一旦被触发，病毒立即从网络下载大量脚本病毒到IE缓存和IE历史记录里，导致用户在打开网页时，毒霸会不停报病毒。该病毒运行时的症状是计算机速度明显变慢，并且，当用户重启或关闭系统时，画面会一直停留在底色桌面，无法进行任何操作。

　　如强行重启，再打开系统盘，可发现在系统盘根目录下多了好几个exe文件，它们的图标都是IE浏览器的图标。而用金山反间谍查看启动项，会发现有两个异常启动项，名称分别为QQ和Internet Explorer.exe，发行商名称：Microsoft Corporation(微软)。很明显，这些也是病毒的伪装。

　　二、“刀剑盗号木马”（Win32.Troj.OnlineGames.dz.77824） 威胁级别：★★

　　这是一个盗号木马，网络游戏《刀剑》是它的作案对象。病毒运行后将自身文件sidjaaz.exe复制至%windir%\system32\目录下，并释放病毒文件sidjacs.dll、sidjazy.dll到该目录中，同时还会释放另一个病毒文件cadaafx.fon到%windir%\Fonts\目录下。随后，病毒创建注册表启动项，以达到开机自启动。

　　接下来，病毒在system32目录下搜索verclsid.exe（这是windows安全验证的一个相关程序），如果发现此文件，就会创建批处理文件将其删除。同时，它还会删除C:\Program Files\NetMeeting\、D:\Program Files\NetMeeting\、%windir%\system32\　目录下所有的 cfg 后缀名文件。最后，病毒创建线程，不断修改注册表，禁止系统自动更新和关闭系统防火墙.

　　通过以上步骤完成对安全系统的破坏后，病毒便以内存读写的方式盗取客户计算机上网络游戏《刀剑》的账号信息，给用户造成虚拟财产的损失。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控、内存监控等），遇到问题要上报， 这样才能真正保障计算机的安全。

　　2.玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。