【IT168 专稿】木马疯狂病毒野蛮，最近网络中不太平的事是一件接着一件，每一件分开都能让网民深感头痛，合到一块那就能让用户手足无措，举目皆兵。病毒有人说无非是走过去的老路嵌入，但近日发现的病毒却能智能到自动模拟鼠标动作，并将其延缓，为自身的下毒程序争取时间。

    POPHOT点击器变种 103284
    Win32.Troj.Pophot.103284即POPHOT点击器变种 103284，这是一个具有盗号木马功能的广告病毒，该病毒自身具有自动修改IE 主页和弹出广告功能，并且还会窃取本地保存的 Internet Explorer、Outlook Express 和 MSN Explorer 密码。病毒会在非系统盘中生成AUTO病毒文件，并尝试关闭一些安全软件，以便能下载病毒到本地运行。

    当病毒源体进入到用户计算机操作系统平台后，首先会在当前系统的系统目录%windows%\ system32下释放出winsys16_071031.dll、winsys32_071031.dll、AlxRes071031.exe文件, 并随后在 %windows%\system32\inf\目录下释放出scrsys071031.scr、scrsys16_071031.dll文件，最后将在% windows%目录下的mwinsys.ini文件。完成上述条件后，病毒自身将建立一个批处理程序myDelm.bat来删除自己的源文件，以避免用户发现，随后病毒修改注册表启动项，将自身程序的相关信息加入其中以达到随机自启动的目的。

    当病毒完成自身的所有一切条件后开始运行，首先病毒会以最快的速度检查当前有户操作系统中以安装的安全软件，如发现它们试图弹出警告框提醒用户系统正遭受入侵危害时，那么病毒就会立即模拟鼠标点击允许按钮来屏蔽提示和警告，为自身程序运行争取一定的时间。紧接着，它搜索卡巴斯基、360 安全卫士、瑞星、江民等安全软件厂商的产品，并尝试把它们强行关闭。到此POPHOT点击器变种 103284依然没有住手，病毒将在不通知用户的情况下自行修改IE浏览器、百度工具条、GOOGLE 工具条、雅虎助手等工具的数据，并将大量广告网站、以及含毒网站的信息加入它们的白名单中予以放行，同时在桌面和收藏夹中生成这些网站的快捷方式，诱使用户点击。它还会试图通过枚举数值的方法来获取用户保存在本机的Internet Explorer、Outlook、MSN的密码。

    然尔在病毒的传播上，该病毒却与U盘病毒的传播方式大体一致，都是通过在所有非系统盘中生成 AUTO病毒文件AUTORUN.INF的方式进行，只要用户双击打开磁盘，病毒就会被再次激活。此后，如果用户在中毒电脑上使用第三方移动存储设备，那么病毒就会立即将其感染上，成为带毒新源体。

    杀软封印下载器
    Win32.Troj.Autorun.56832即杀软封印下载器，该病毒运行后，首先会在系统盘的系统目录%windows%\system32下释放出病毒文件TxHMoU.Exe，并在当前用户的全部的磁盘分区中生成AUTO病毒文件AUToRUN.Inf和soS.Exe，只要用户双击打开含毒磁盘，病毒就会立刻被激活。如果用户在这台电脑上使用U盘等第三方移动存储设备，那么设备将立即被病毒所感染。

    最后，病毒依旧将修改注册表，帮自身的相关信息加入其中，达到随机自启动的目的，并连接病毒作者指定的网址http://1**.10.1**.1*6，下载最新的病毒配置文件。同时，病毒还会修改注册表的其它部分，如：禁用任务管理器、禁止自动升级、禁止显示隐藏文件、修改IE主页、禁止用户修改IE主页等。使得用户的操作将变得极为不便，而且当用户试图访问任何与杀毒及系统安全有关的网页时，IE浏览器就会被立刻强行关闭，而病毒源体却可以畅通无阻的下载大量互联网病毒到用户操作平台中运行，让系统溃不成军。

    预防方法
    其实用户只要养成良好的系统网络习惯，并经常加固操作系统的安全性，那么在病毒抗性上就相对较容易些，而一台没有经过加固的系统，病毒是非常容易攻破的，其出入系统相当便利，根本没有防线进行守护。此处要注意三点：

    一、在计算机中安装专业的杀毒软件，并将其自动更新设为每天，随后打开所有监控（注：系统慢的用户可随自身需求而设置）如：网络监控，内存监控、注册表监控、文件监控等，以达第一时间发现处理病毒，不让其有机可趁。

    二、加装防火墙。防火墙对于一个经常上网的用户是非常必要的，其对于出入电脑线程的检测是对恶意程序（木马）最好的防卫。当一个防火墙安装后，首先仍需更新当前数据库到最新日期，在遇到有线程进出计算机系统时，用户因根据其程序的提名设置放行通过于否。

    三、设立计算机安全策略，将其默认共享、病毒附属端口一一封杀，并安装第三方安全软件如：微点、超级巡警等，既做到安全守卫，又可以对各种程序进行检测排查，让病毒木马无处藏匿。

    编者按：如果网民无法确定是否遇上以上病毒，只需检查各其系统分区的右击键项，看其中是否存在AUTO标设，如果发现有，则需查看系统目录%windows%\ system32下是否存有winsys16_071031.dll、winsys32_071031.dll、AlxRes071031.exe、TxHMoU.Exe文件即可。中了此毒的用户最简单的办法就是利用以前的备份进行恢复安装即可。