紧急！病毒伪装Windows更新程序搞破坏

　  最近不少用户反映电脑中了一个貌似Windows更新程序的病毒，中招后很多杀毒软件都束手就擒，右下角的杀软图标都乖乖退出，任由病毒肆意妄为而无可奈何。唯有绿色大蜘蛛及时报警拦截病毒，像一个钢铁战士忠实守卫在它的阵地上。

　　点击下载：Dr.Web大蜘蛛反病毒2008专业版（免费用90天）

　  现在的病毒制造者愈发的猖獗和狡猾，不仅病毒破坏力越来越强，其在掩饰方面也是做足了功夫，此病毒就是将图标伪装成Windows更新程序并将其命名为update.exe从而骗过各大网站和网民的眼睛，令其频频中招，给本已不平静的互联网又添波澜。

　  大蜘蛛提醒广大用户：及时更新病毒库，防止中招。

　　笔者简单分析了此病毒的运行行为，以供读者参阅。

　　病毒样本图标如下图：病毒程序及其属性信息均模仿为Windows更新程序

图1

　　1.此病毒运行后启动进程update.exe，释放其本身及动态库文件到系统路径下并将属性设置为隐藏：

图2

　　2.修改注册表导致无法显示隐藏文件，从而达到隐藏本身的目的：

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL "CheckedValue" = 0x00000002

　　3.在各个磁盘根目录下复制自身及autorun.inf，用户每次双击打开磁盘，都会调用aoturun.inf运行病毒，同时复制病毒自身到U盘，达到通过U盘传播的目的；

　　4.然后将病毒文件写入启动项（这是一般病毒的常用技俩，用户机器每次启动时，病毒都会随机启动）：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
\Run “test”=C:\WINDOWS\system32\wuauclt1.exe

　　5.此病毒将系统时间调整为四年前，导致很多杀毒软件的许可文件失效，无法实现扫描功能，因此要遏制此病毒的爆发还是要依赖于杀毒软件的监控能力。

图3

　　大蜘蛛监控程序在病毒运行的第一时间将其拦截，阻止其运行。如下4所示：

图4

　　笔者提醒广大用户：Dr.Web大蜘蛛的中文官方网站有为期90天的免费试用版下载。