正在阅读：病毒越来越智能：模拟鼠标点击允许按钮病毒越来越智能：模拟鼠标点击允许按钮

　　“POPHOT点击器变种 103284”（Win32.Troj.Pophot.103284），这是一个具有盗号木马功能的广告病毒.它会弹出广告、修改IE 主页，还会窃取本地保存的 Internet Explorer， Outlook Express 和 MSN Explorer 密码.病毒会在非系统盘中生成AUTO病毒文件，并尝试关闭一些安全软件，以便能下载病毒到本地运行.

　　一、“POPHOT点击器变种103284”（Win32.Troj.Pophot.103284） 威胁级别：★★

　　病毒进入电脑系统后，在系统盘中释放出六个病毒文件，分别是%windows%\ system32\目录下的winsys16_071031.dll、winsys32_071031.dll、AlxRes071031.exe文件， %windows%\system32\inf\目录下的scrsys071031.scr、scrsys16_071031.dll文件，以及% windows%目录下的mwinsys.ini文件.然后，病毒就建立一个批处理程序myDelm.bat 来删除自己的源文件，以避免用户发现.接着，病毒修改注册表启动项，把自己的相关信息加入其中，达到随系统自动启动之目的.

　　开始运行后，病毒会以最快的速度检查系统中已安装的安全软件，如发现它们试图弹出警告框提醒用户系统正遭受入侵，就会立刻模拟鼠标点击允许按钮来屏蔽提示和警告，给自己争取到下一步行动的时间.紧接着，它搜索卡巴斯基、360 安全卫士、瑞星、江民等安全软件厂商的产品，并尝试把它们强行关闭.

　　然后，病毒修改IE浏览器、百度工具条、GOOGLE 工具条、雅虎助手等工具的数据，把大量广告网站、以及含毒网站的信息加入它们的白名单，同时在桌面和收藏夹中生成这些网站的快捷方式，诱使用户点击.它还会试图通过枚举数值的方法来获取用户保存在本机的Internet Explorer、Outlook、MSN的密码.

　　此外，该病毒还会在所有非系统盘中生成 AUTO病毒文件AUTORUN.INF，只要用户双击打开磁盘，病毒就会被再次激活.此后，如果用户在中毒电脑上使用U盘等移动存储器，病毒就会立即将其传染.

　　二、“杀软封印下载器”（Win32.Troj.Autorun.56832） 威胁级别：★★

　　病毒运行后，会在系统盘的%windows%\system32\目录下释放出病毒文件TxHMoU.Exe，并在全部的磁盘分区中生成AUTO病毒文件AUToRUN.Inf和soS.Exe.只要用户双击打开含毒磁盘，病毒就会立刻被激活.如果用户在这台电脑上使用U盘等移动存储器，病毒也会立即将其传染，以扩大自己的势力范围.

　　随后，病毒修改注册表，将自己的相关信息加入其中，达到随系统自启动之目的，并连接病毒作者指定的网址http://1**.10.1**.1*6，下载最新的病毒配置文件.同时，病毒还会修改注册表的其它部分，禁用任务管理器、禁止自动升级、禁止显示隐藏文件、修改IE主页、禁止用户修改IE主页……经过一番“手术”后，用户的操作将变得极为不便，而且当用户试图访问任何与杀毒及系统安全有关的网页时，IE浏览器就会被立刻强行关闭，而病毒却可以畅通无阻的下载大量病毒到用户系统中运行，给用户造成巨大的损失.

　　反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒.用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报， 这样才能真正保障计算机的安全.

　　2.玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机.

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒.用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报， 这样才能真正保障计算机的安全.

　　2.玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机.