AOTU

該EXE是病毒下載器，它會：

1.參考系統C糟卷序列號來算出服務名，EXE 和DLL 的檔案名稱。

2.在每一個驅動器下放置AUTO病毒autorun.inf 和自身副本auto.exe 並加系統和隱藏屬性。

3.在系統system32 下放置自身副本“隨機名.exe ”和釋放出來的“隨機名.dll” 並將它們偽裝成具有隱藏屬性的系統檔案。

4.修改系統鍵值，將系統隱藏檔案選項刪除，造成用戶無法查看隱藏起來的病毒檔案。

5.修改系統註冊表，將自己註冊為服務開機啟動。

6.搜尋註冊表啟動項里是否有“360”字元串鍵值，有了刪除，並用ntsd 關閉程式，搜尋視窗是否含有“防毒軟體”，有了模擬操作關閉。判斷進程里是否有卡巴斯基的檔案AVP.EXE， 有則修改系統時間，使得卡巴失效。

7.通過網站檔案列表下載其它病毒。

8.刪除該病毒以前版本遺留的註冊表信息。

9.“隨機名.dll” 會遠程注入系統進程中的所有進程

1.參考C 盤卷序列號的數值算出8 位隨機的服務名，exe 和dll 的檔案名稱。（還記得AV終結者嗎？最開始出來就是隨機8位數檔案名稱的EXE）

2.搜尋當前檔案名稱是不是auto.exe，若是調用explorer.exe ShellExecuteA 打開驅動器。

3.對抗防毒軟體：

1）搜尋註冊表啟動項里是否有“360”字元串鍵值，有則刪除，使得360以後都無法自動啟動。並緊接著關閉已啟動的360程式。

2）檢查當前進程中有沒有卡巴斯基的進程AVP.EXE ，有的話修改系統時間，令依賴系統時間進行激活和升級的卡巴失效。

3）病毒還會試圖關閉防毒軟體它查找毒霸的監視提示視窗"KAVStart" ，找到後通過PostMessageA 傳送CLOSE 訊息，然後用FindWindowExA 搜尋"防毒軟體" 通過SendMessageA 傳送關閉訊息，以及模擬用戶，傳送點擊滑鼠按鍵訊息關閉。不過，經測試以上方法都不能關閉絕大部分防毒軟體。

4.比較當前檔案運行路徑是不是在系統SYSTEM32 下的隨機名，不是則複製自身副本到系統SYSTEM32 。

5.將DLL注入系統進程，運行之後釋放det.bat 刪除自身

6.病毒檔案注入explorer.exe 或winlogon.exe 循環等待,利用它們的空間運行自己，實現隱蔽運行。

7.查找啟動項里是否有包含360 的字元串，有了刪除，並用SeDebugPrivilege 提升許可權和ntsd 關閉程式，搜尋視窗是否含有“防毒軟體”，有了模擬操作關閉。

8.篡改註冊表中關於資料夾顯示狀態的相關數據，將系統隱藏檔案選項刪除。

9.病毒查找老版本的自己留下的註冊表信息，將其刪除，便於進行升級。

10.從病毒作者指定的地址http://33.xi***id*8.cn/soft/update.txt 下載病毒列表，根據列表信息去下載其它病毒，每次下載一個，運行後刪除，再接著下載。

在它下載的病毒檔案中，有木馬自己的升級檔案和某國際知名品牌的網路語音通訊軟體，另外還包含17個針對不同知名網遊的盜號木馬，而在這些木馬中，有一些其本身也具備下載功能。如果它們成功進入電腦，將引發無法估計的更大破壞。

11.除在本機上進行盜號，病毒還將自己的AUTO病毒檔案auto.exe 和autorun.inf 釋放到每一個磁碟分區里。autorun.inf 指向auto.exe。只要用戶用滑鼠雙擊含毒磁碟，病毒就會立即運行，搜尋包含隨身碟等移動存儲器在內的全部磁碟，如果發現有哪個磁碟尚未中毒，就立刻將其感染，擴大自己的傳染範圍。

1.由於病毒DLL 檔案遠程注入包括系統進程在內的所有進程，採取直接刪除的辦法是無法徹底清楚的，必須刪除DLL，同時刪除服務，重起，在進行掃尾刪除，由於該病毒換算需要大量時間，在剛開機時不能馬上釋放DLL 進行注入，此時也是清除的最佳時機。

2.建議用戶使用金山清理專家將這些隨機8位數命名的DLL和EXE，添加到檔案粉碎器的刪除列表，將這些檔案一次性徹底刪除。重啟後，再修復殘留的註冊表載入項。

病毒特點

該病毒通過給 QQ 好友傳送“陳冠希原版相片.rar”來進行傳播，自身通過鏡項劫持安全軟體和在驅動

器下建立 autorun.inf 來自啟動，並下載 40 多種病毒木馬。結束安全軟體進程，並修改系統時間。修

改註冊表破壞安全模式登錄，影響顯示隱藏檔案。

1.創建自動運行檔案，在各磁碟根目錄會發現explorer.pif 和autorun.inf檔案

2.嘗試關閉以下安全軟體的進程

Safe.exe； 360tray.exe；VsTskMgr.exe；Runiep.exe；RAS.exe；UpdaterUI.exe；TBMon.exe；

KASARP.exe；scan32.exe；VPC32.exe；VPTRAY.exe；ANTIARP.exe；KRegEx.exe； KvXP.kxp；

kvsrvxp.kxp；kvsrvxp.exe；KVWSC.EXE；Iparmor.exe；AST.EXE

3.向QQ聊天視窗傳送陳冠希原版相片.rar的病毒檔案，該壓縮檔充分利用了社會工程學原理進行欺騙，

雙擊就會中招。

4.修改系統時間為2002年

5.嘗試停止安全軟體的服務

6.將自身拷貝到"C:\WINDOWS\system32\wuauc1t.exe"，並將屬性改為系統隱藏。

7.通過http://www.***.com/下載大量盜號木馬

8.修改"SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall\"

的 CheckedValue項改為 0（默認為1），破壞顯示隱藏的系統檔案

9.刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal \，來破壞安全模

式，導致無法啟動系統到安全模式來防毒。

10.映像劫持以下安全軟體為

"C:\WINDOWS\system32\wuauc1t.exe"，使得運行以下軟體時，實際執行的是病毒程式。360rpt.EXE；

360safe.EXE；360tray.EXE；AVP.EXE；AvMonitor.EXE；CCenter.EXE；IceSword.EXE； Iparmor.EXE；

KVMonxp.kxp；KVSrvXP.EXE；KVWSC.EXE；Navapsvc.EXE；Nod32kui.EXE； KRegEx.EXE；

Frameworkservice.EXE；Mmsk.EXE；Wuauclt.EXE；Ast.EXE； WOPTILITIES.EXE；Regedit.EXE；

AutoRunKiller.exe；VPC32.exe；VPTRAY.exe； ANTIARP.exe；KASARP.exe；QQDOCTOR.EXE

1.使用進程管理器關閉 IEXPLORE.EXE、wuauc1t.exe、explorer.pif進程。

2.將金山清理專家主程式KASMAIN.EXE重命名，再執行。然後修復鏡項劫持、安全模式、和隱藏檔案選

項

3.刪除以下檔案：

%windir%\system32\wuauc1t.exe

%TempPath%\ 陳冠希 原 版 相片 .rar

c:\sys.pif

c:\1~40.pif

%windir%\system32\syurl.dll

4.如果不可以打開IE搜尋防毒軟體和任何關於系統的字眼，可通過QICQ等渠道或許直接下載360安全衛士下載地址。然後連續安裝多個360安全衛士。一直到出現防毒完成請重新啟動計算機。本人嘗試多次。可行！AOTURUN不可直接結束360安裝前掃描。

各驅動器下的explorer.pif和 autorun.inf