【IT168 专稿】网络中的病毒是一天比一天多，虽然众多病毒的制造者不同，但都是依据网络或第三方存储设备进行传播，更有甚至是利用即时通讯软件进行感染式挟带，以达让更多的用户成为受害者，从而实现下毒者的阴谋目的。

    感染行为
    最近网络中流行的Worm.Win32.AutoRun.apj病毒属于典型的蠕虫类病毒，其主要依靠第三方存储设备进行传播，如：U盘、MP3、MP4、硬盘存储卡、移动硬盘等。一但被感染存储设备与计算机对接后，那么其中所挟带的该病毒将自动运行，并释放副本到用户的计算机windows文件夹的fonts目录下，随后在目录%DriverLetter%下生成ntldr.exe 文件，字节数为19,124字节；autorun.inf文件，字节数为85字节，以达用户双击后自运行的目的。最后将在系统目录 %Windir%\Fonts\system下生存ati2evxx.exe可执行文件，字节数为19,124字节 。

    映像劫持
    随后添加注册表项目以达自启动的目的，内容如下：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run] ，注册表键值："TBMonEX" ，类型为REG_SZ，其字符串为："%Windir%\Fonts\system\ati2evxx.exe" 。当然依照病毒惯例，在注册表中动手脚对安全软件进行映像劫持。其安全软件如下：360rpt.exe、360Safe.exe、360tray.exe、ACKWIN32.EXE、ANTI-TROJAN.EXE、APVXDWIN.EXE、AUTODOWN.EXE、AVCONSOL.EXE、AVE32.EXE、AVGCTRL.EXE、AVKSERV.EXE、 AVNT.EXE、AVP.EXE、AVP32.EXE、AVPCC.EXE、AVPDOS32.EXE、AVPM.EXE、AVPTC32.EXE、AVPUPD.EXE、  AVSCHED32.EXE、AVWIN95.EXE、AVWUPD32.EXE、BLACKD.EXE、 BLACKICE.EXE、CFIADMIN.EXE、CFIAUDIT.EXE、CFINET.EXE、CFINET32.EXE、CLAW95.EXE、CLAW95CF.EXE、CLEANER.EXE、 CLEANER3.EXE、DVP95.EXE、DVP95_0.EXE、ECENGINE.EXE、 EGHOST.EXE、ESAFE.EXE、EXPWATCH.EXE、F-AGNT95.EXE、FESCUE.EXE、FINDVIRU.EXE、FPROT.EXE、F-PROT.EXE、F-PROT95.EXE、FP-WIN.EXE、FRW.EXE、F-STOPW.EXE、IAMAPP.EXE、IAMSERV.EXE、IBMASN.EXE、IBMAVSP.EXE、 ICLOAD95.EXE、ICLOADNT.EXE、ICMON.EXE、ICSUPP95.EXE、ICSUPPNT.EXE、IFACE.EXE、IOMON98.EXE、Iparmor.exe、 JEDI.EXE、KAV32.exe、KAVPFW.EXE、KAVsvc.exe、 KAVSvcUI.exe、KVFW.EXE、KVMonXP.exe、KVMonXP.kxp、KVSrvXP.exe、KVwsc.exe、KvXP.kxp、KWatchUI.EXE、LOCKDOWN2000.EXE、Logo_1.exe、Logo1_.exe、LOOKOUT.EXE、 LUALL.EXE、MAILMON.EXE、MOOLIVE.EXE、MPFTRAY.EXE、VSSTAT.EXE、WEBSCANX.EXE、WFINDV32.EXE、ZONEALARM.EXE、修复工具.exe、 SWEEP95.EXE、TBSCAN.EXE、TCA.EXE、TDS2-98.EXE等。

    网络行为
    当病毒驻扎后开始遍历硬盘中的EXE可执行文件（系统文件夹EXE可执行文件除外），并在exe文件的尾部添加名为.ani一个节，达到改变文件大小的目的， 最后连接到互联网网址c.8**.us(59.60.155.**) 、a.8**.us(58.53.128.**) 、e.8**.us(218.75.159.***)、f.8**.us(59.60.157.**) 等，从中下载各种病毒木马到计算机的临时文件夹（TEMP）中，其病毒如下： 00001[1].exe（Trojan.Win32.Vaklik.bx）； 00002[1].exe （Trojan-PSW.Win32.OnLineGames.lnx ）；00003[1].exe （Trojan-PSW.Win32.OnLineGames.lmz）；00004[1].exe （Trojan-PSW.Win32.OnLineGames.lqb）；00005[1].exe （Trojan-PSW.Win32.OnLineGames.llm ）；00006[1].exe （Trojan-PSW.Win32.OnLineGames.llj）；00007[1].exe （Trojan-PSW.Win32.OnLineGames.lpt）；00008[1].exe （Trojan-PSW.Win32.OnLineGames.lqz）；00009[1].exe （Trojan-PSW.Win32.OnLineGames.lrf）；00010[1].exe （Trojan-PSW.Win32.OnLineGames.lmz ）；host[1].exe （Trojan.Win32.Qhost.aaf）； wdlm[1].exe （Trojan-Downloader.Win32.Small.gwi ）；soundma[1].exe （Trojan.Win32.Agent.diq）；lmmy[1].exe （Trojan-PSW.Win32.OnLineGames.kaw）；lmmh[1].exe （Trojan.Win32.Small.uj）等。该病毒清除较难，属于危害等级较高的病毒。　　　　

    清除方案
    普通用户可使用安天木马防线清除此病毒，有手工清除经验的朋友可以对照下列方法进行尝试清除。首先进入目录%DriverLetter%下删除ntldr.exe文件，删除%Windir%\Fonts\system下的ati2evxx.exe ，并一一删除%Temporary Internet Files%下的00001[1].exe 、00002[1].exe 、00003[1].exe 、00004[1].exe 、00005[1].exe、00006[1].exe、00007[1].exe、00008[1].exe、00009[1].exe 、00010[1].exe 、00011[1].exe、 00012[1].exe、00013[1].exe 、00015[1].exe、00016[1].exe、00017[1].exe、00023[1].exe、host[1].exe、wdlm[1].exe、soundma[1].exe、lmmy[1].exe、lmmh[1].exe。随后删除病毒添加的注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 分支下的"TBMonEX"键值 ，字符串为"%Windir%\Fonts\system\ati2evxx.exe" ，以达恢复被病毒修改的注册表项目。
　 　 　
    编者按：由于该病毒自行从互联网中下载的病毒程序较多，这里建议用户在浏览网站或打开第三方存储设备时一定要提高警惕。有条件的用户可以使用[影子系统]进入正常的单盘防护方式进入互联网或打开存储盘，尽可能避免被病毒木马的骚扰危害。