需警惕新隨機八位數U盤病毒

　　“U盤百家姓”（Win32.Hack.Popwin.ai.18474），這是一個可通過U盤傳播的病毒。它會破壞殺毒軟件的正常運行，并從指定的網址上下載大量惡意軟件在用戶計算機上。此病毒 大的特點是一切病毒相關的服務名和文件名都是隨機生成的。

　　“殺手傳聲筒”（Win32.Troj.Agent.401408），這是一個遠程控制類木馬。它能破壞殺毒軟件的正常運行，并在本地創建客戶端，向遠程服務端傳送本地計算機的情況，為黑客入侵用戶電腦系統提供機會。

　　“U盤百家姓”（Win32.Hack.Popwin.ai.18474） 威脅級別：★★

　　病毒運行后，在%Windows%\system32\目錄下釋放出一個。EXE格式文件和一個。DLL格式文件。需要注意的是，這兩個病毒文件的文件名是病毒根據已內定的某些字符，與用戶電腦上的系統盤卷序列號進行計算而隨機生成的八位數，因此并不固定。然后，它修改注冊表，創建注冊啟動項，達到隨系統自動啟動之目的，其中的服務名也是隨機生成。病毒還會在每個磁盤分區的根目錄下生成病毒文件 auto.exe 和輔助文件 autorun.inf，當用戶雙擊打開磁盤，病毒文件就會再次運行。此后，如果用戶在中毒電腦上使用U盤等移動存儲器，病毒就會將其傳染。

　　與此同時，病毒迅速搜索計算機進程，如發現殺毒軟件卡巴斯基的進程文件avp.exe，則修改系統時間為2005年 .由于卡巴斯基的激活文件需依賴系統時間，此舉將導致卡巴斯基失效。病毒還會嘗試對金山毒霸下手，它會搜索毒霸的運行窗口，并試圖將其關閉。

　　當解決掉殺毒軟件，病毒就會悄悄連接木馬作者指定的網址，通過讀取升級文件 update.txt，獲取其它病毒及惡意軟件的 新下載地址，并把它們下載到用戶計算機上運行，給用戶造成更大的損失。

　　“殺手傳聲筒”（Win32.Troj.Agent.401408） 威脅級別：★★

　　病毒運行后，在%Windows%\system32\目錄下釋放出三個病毒文件，分別為aedl.exe、aedl.dat 以及aedl .jpg（jpg文件的文件名末尾帶個空格），需提及的是，由于此病毒的文件名是參考源文件名，因此并不局限于以上名稱。

　　隨后，病毒修改注冊表，將自己的相關信息加入其中，以便隨系統啟動。同時，還修改系統中的數據，隱藏自己的進程服務。這樣，用戶在查看服務控制臺時，就不會發現它。接著，病毒迅速修改系統時間，破壞依賴系統時間的安全軟件的正常運行。并查找彈出的卡巴斯基和微點的提示窗口，向窗口發送鼠標點擊消息，允許病毒的操作。完成以上步驟后，病毒就注入其它程序，在它們的程序空間內運行。

　　運行過程中，病毒會監視本地計算機的鍵盤和鼠標動作，并創建遠程聯接，向木馬作者（黑客）指定的遠程服務端發送這些信息，被同時發送的信息還括受害計算機的機名、系統版本、用戶名等。而且，黑客可以利用遠程服務端向受害電腦發送遠程指令，進行任何想要的操作，給用戶造成無法估計的損失。

　　金山反病毒工程師建議

　　1. 好安裝專業的殺毒軟件進行全面監控。建議用戶安裝反病毒軟件防止日益增多的病毒，用戶在安裝反病毒軟件之后，應該經常進行升級、將一些主要監控經常打開（如郵件監控、內存監控等），遇到問題要上報， 這樣才能真正保障計算機的安全。

　　2.玩網絡游戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟件，開啟防火墻以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。