病毒冒充驅動器　系統無故亂發報警聲音

【賽迪網-IT技術報道】日前，冠群金辰公司截獲Win32.SillyAutorun.WJ病毒，該病毒屬於SillyAutorun系列的新變體，通過USB隨身碟拷貝方式傳播。感染Win32.SillyAutorun.WJ病毒的系統啟動時會頻繁發出報警聲響。該病毒對系統的破壞性極高，目前雖未收到大量用戶感染該病毒的信息，冠群金辰公司還是提醒廣大用戶要加以防範。

Win32.SillyAutorun.WJ感染方式：

Win32.SillyAutorun.WJ病毒屬於特洛伊病毒，病毒文件長度為860,161 字節。主要通過USB隨身碟拷貝方式傳播。當用戶執行帶毒文件後，它會將自身文件拷貝到系統目錄，文件名為11.exe和2008.exe。之後，修處註冊表啟動項目，以便系統啟動時執行。

Win32.SillyAutorun.WJ系統危害：

此病毒對系統最大影響在於：病毒將自身代碼注入系統explorer.exe進程中，並修改註冊表很多關鍵的鍵值，對系統應用產生如下影響：

・禁用系統任務管理器

・禁用資源管理器的「工具-〉選項」設置，造成用戶無法修改資源管理器的查看狀態

・禁用註冊表編輯器，使得用戶無法修復註冊表

病毒對以上鍵值的修改，給用戶不能在本地系統上手工修復被感染的系統，對清除病毒造成很大的影響。

另外，病毒還將驅動器中根目錄設置為隱含屬性，並生成與每個目錄名相同的.exe病毒文件且文件圖標與目錄相同。由於原有目錄被隱含，因此用戶實際看到是病毒文件，當用戶雙擊進入目錄操作時，實際上執行的是病毒文件。病毒文件執行後會繼續打開相應的目錄，因此普通用戶中毒後可能感覺不到什麼變化。

Win32.SillyAutorun.WJ破壞及表現：

該病毒還會在系統目錄%windows%放置一個xyzzy.wma的音頻文件，系統啟動時會調用播放，因此中毒的系統啟動時會頻繁發出聲響，使用戶無法工作。

安全建議：

冠群金辰公司建議用戶採取以下防範措施，以減少病毒的感染：

1、對於個人PC，重要的系統補丁應及時安裝；對於企業用戶，應加強補丁管理意識，尤其對伺服器等重要系統應盡早安裝；

2、不訪問有害信息網站，不隨意下載/安裝可疑插件，並檢查IE的安全級別是否被修改；

3、使用KILL時注意及時升級到最新的病毒庫版本，並保持時時監視程序處於開啟狀態；

4、不要隨意執行未知的程序文件；

5、合理的配置系統的資源管理器（比如顯示隱含文件、顯示文件擴展名），以便能夠更快地發現異常現象，防止被病毒程序利用。

(