警惕「Windows更新」陷阱　病毒藉機傳播

【賽迪網-IT技術報道】最近不少用戶反映電腦中了一個貌似Windows更新程序的病毒，中招後很多殺毒軟體都束手就擒，右下角的殺軟圖標都乖乖退出，任由病毒肆意妄為而無可奈何。這次綠色大蜘蛛倒是倖免於難，並且及時報警攔截了病毒。

現在的病毒製造者愈發的猖獗和狡猾，不僅病毒破壞力越來越強，其在掩飾方面也是做足了功夫，此病毒就是將圖標偽裝成Windows更新程序並將其命名為update.exe從而騙過各大網站和網民的眼睛，令其頻頻中招，給本已不平靜的互聯網又添波瀾。

請廣大用戶及時更新病毒庫，防止中招。

筆者簡單分析了此病毒的運行行為，以供讀者參閱。

病毒樣本圖標如下圖：病毒程序及其屬性信息均模仿為Windows更新程序

1.此病毒運行後啟動進程update.exe，釋放其本身及動態庫文件到系統路徑下並將屬性設置為隱藏：

C:/WINDOWS/system32/wuauclt1.exe

C:/WINDOWS/system32/dllcache/wuauclt.exe

C:/WINDOWS/system32/w1ninet.dll

C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/Rar$EX01.859/update.EXE

2.修改註冊表導致無法顯示隱藏文件，從而達到隱藏本身的目的：

HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL "CheckedValue" = 0x00000002

3.在各個硬碟根目錄下複製自身及autorun.inf，用戶每次雙擊打開硬碟，都會調用aoturun.inf運行病毒，同時複製病毒自身到USB隨身碟，達到通過USB隨身碟傳播的目的；

4.然後將病毒文件寫入啟動項（這是一般病毒的常用技倆，用戶機器每次啟動時，病毒都會隨機啟動）：

HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run 「test」=C:/WINDOWS/system32/wuauclt1.exe

5.此病毒將系統時間調整為四年前，導致很多殺毒軟體的許可文件失效，無法實現掃瞄功能，因此要遏制此病毒的爆發還是要依賴於殺毒軟體的監控能力。

大蜘蛛監控程序在病毒運行的第一時間將其攔截，阻止其運行。如下圖：

(