Win32.Troj.AutoRun.te.v AUTO特務89280

病毒成功運行後，會在各盤中生成具有隱藏屬性的AUTO病毒，註冊表被病毒修改後，具有隱藏屬性的檔案無法查看。眾多啟動項被病毒刪除，包括殺軟、系統的啟動項，這樣會導致機器重啟後，殺軟失效，使用戶機器安全性大大降低。而且該病毒還有破壞安全模式、下載病毒的功能。

1.病毒運行後，生成以下病毒檔案

%temp%\RarSFX0

%windows%\system32\Com\LSASS.EXE

%windows%\system32\Com\netcfg.000

%windows%\system32\Com\netcfg.dll

%windows%\system32\Com\SMSS.EXE

2.在各盤中生成AUTO病毒，包括病毒檔案pagefile.pif和autorun.inf輔助檔案，都具有隱藏屬性。

3.病毒會修改註冊表，使系統的隱藏功能失效，用戶無法操控，只要具有隱藏屬性的檔案將無法顯示。

4.查看啟動項，異常的發現啟動項中許多系統啟動項都被自動刪除，包括毒霸的啟動項。

5.由於啟動項被刪除，再使用反間諜的隱蔽軟體掃描，也就可以看到有兩個隱蔽軟體，分別是："異常的autorun.inf"和"BrokenSafeBoot",BrokenSafeBoot很明顯是破壞安全模式的，這樣會使用戶中了該病毒以後無法進入安全模式。

6.該病毒還會引發ARP欺騙，導致在同一局域望網內的機器都有被欺騙的可能，明顯的症狀是：網路時常斷開，會有病毒下載到總ARP的機器。