12月11日病毒预警：谨防AUTO病毒126976【NOD32中国】

【eNet硅谷动力消息】
“AUTO病毒126976” （Win32.Troj.AutoRun.126976），这是一个AUTO病毒。病毒成功运行后，立即修改系统时间，使依赖系统时间的杀软失效。并会通过释放的病毒文本文件中的内容下载大量盗号木马，添加大量病毒启动项，弹窗口等行为。该病毒的一大特性在于会自动升级。

“ARP骗子 86016”（Win32.Troj.VcingARP.a.86016），这是一个ARP欺骗病毒，该病毒会干扰局域网内所有用户的网络通信，造成整个局域网瘫痪。它还会造成局域网内用户访问网页时，弹出不明Google广告。另外，当局域网内用户点击浏览器下载文件时，病毒会将文件地址定向到病毒地址，诱使用户下载更多其他病毒运行。

一、“AUTO病毒126976”（Win32.Troj.AutoRun.126976）威胁级别：★★
病毒进入电脑系统后，会在%windows%\system32\目录下释放出病毒文件26E07E70.EXE、3DEF2E8.DLL、 llk1133861483、n1133861485k.exe，并在全部磁盘中生成AUTO病毒，分别是auto.exe病毒文件和 autorun.inf辅助文件。如果用户双击进入有AUTO病毒的盘符时，病毒就会再次被触发。要想清除掉它们，必须右键打开该盘，然后才能将其删除。

在生成的病毒文件中，有一个名为update[1].txt的文本文件，它隐藏得很深，地址在%Documents and Settings%\用户名\Local Settings\Temporary Internet Files\Content.IE5\EC5UKR17\目录下，病毒可通过该文本文件中的信息，获知从何处下载最新版本的其它病毒。不过，根据该列表下载的病毒，毒霸都可查杀。

同该文本文件一起生成的还有%Documents and Settings%\用户名\Local Settings\Temporary Internet Files\Content.IE5\GR8I0NOH\路径下的f2b4657b5568d072[1].exe病毒文件。

病毒文件释放完毕后，病毒就会修改注册表，添加许多病毒启动项，并修改系统时间，使依赖系统时间的杀软失效。当系统重启后，这些病毒项就会随系统的启动而运行起来。由于系统资源被病毒大量占用，电脑的运行速度会明显变慢。如果使用反间谍隐蔽软件扫描，会发现在系统盘的许多重要文件夹下，都已经有以盗号木马为主的病毒在其中孳生。并且，还能发现许多由病毒伪装出来的毒霸相关网页。

二、“ARP骗子86016”（Win32.Troj.VcingARP.a.86016）威胁级别：★★
此病毒顺利进入系统后，会在%windows%\system32\drivers\目录下释放出病毒文件alg.exe，然后连接百度主页，以测试网络是否通畅，如果发现网络是接通的，便开始破坏行为。这个过程，一般用户无法察觉，只有安装了防火墙且防范级别较高，才会收到提示。

病毒运行后，就开始向局域网内的各台成员机发送大量的ARP欺骗代码，称本机器才是网关，从而影响各成员机的数据收发，拖慢局域网。刚开始时，只是网速略微变慢，但很快，这种“慢”就会变得让人无法忍受，最后整个局域网甚至会瘫痪掉。如果局域网内的用户想访问互联网，在打开任何网页时，都会出现莫名其妙的 Google广告。

而如果病毒发现局域网内用户试图通过点击浏览器下载文件时，就会截获下载地址，并其重定向到病毒下载地址。要是用户不注意检查下载文件的名称，就有可能误下载其它病毒文件，给电脑系统的安全造成更大威胁。(末)