磁碟機，毒王新一代

最近，一種名為“磁碟機”病毒大面積暴發(fā)，其“作案”手段復雜，更新速度快，隱蔽性大，反查殺能力強。反病毒專家介紹，新一代毒王“磁碟機”的“毒性”已遠遠大于臭名昭著的“熊貓燒香”病毒。

反病毒公司介紹，“磁碟機”病毒利用釋放并加載的驅(qū)動程序攻擊殺毒軟件，破壞殺毒軟件的自保護機制，使殺毒軟件監(jiān)控失效，讓用戶電腦失去防護?！按诺鷻C”通過網(wǎng)站、U盤、局域網(wǎng)等傳播，集成了最流行的病毒技術手段，正逐漸發(fā)展為目前感染量大、破壞性強、清除難度高的新“毒王”。與“熊貓燒香”病毒一樣，“磁碟機”病毒更新速度快，平均一兩天變種一次，從而能夠逃避殺毒軟件的特征值查殺?！按诺鷻C”還能夠自動升級，“磁碟機”病毒一旦在用戶電腦成功運行后，會自動接入光纖連接升級服務器，下載病毒最新版本和超過20種木馬病毒到本地運行，盜取用戶虛擬資產(chǎn)和其他機密信息，同時該病毒會感染用戶機器上的exe文件，包括壓縮包內(nèi)的exe文件，導致用戶很難徹底清除。

為應對“磁碟機”病毒，殺毒軟件公司紛紛開發(fā)出“磁碟機”病毒專殺工具。但是，這種專殺工具治標不治本，它只是在“磁碟機”病毒已經(jīng)感染并造成破壞后，所采取的補救措施。由于“磁碟機”病毒還在不停變種，與殺毒軟件一樣，專殺工具也無法查殺最新版的“磁碟機”病毒。

微點反病毒專家介紹，微點主動防御軟件采取獨有的主動防御技術，不依賴于病毒的特征值，就可能夠有效防御“磁碟機”病毒的所有變種，是目前國際上防御“磁碟機”病毒最有效的工具。微點公司為用戶提供免費的微點主動防御軟件90天試用版，用戶可以從www.micropoint.con.cn網(wǎng)站下載使用。

延伸閱讀

磁碟機檔案

中文名：磁碟機

英文名：Virus.Win32.Xorer.aex

體貌特征：該程序是使用VC編寫的病毒程序，采用UPX加殼方式試圖躲避特征碼掃描，加殼后長度為94，208字節(jié)，圖標為Windows默認可執(zhí)行文件圖標，病毒擴展名為exe，主要通過網(wǎng)頁木馬、文件感染、移動存儲介質(zhì)方式傳播。

磁碟機犯罪實錄

實錄現(xiàn)場：Windows 2000/Windows XP/Windows 2003

流竄地點：網(wǎng)頁木馬、文件感染、移動存儲介質(zhì)

實錄一：

1.強殺N多安全軟件

磁碟機病毒運行后，會強行關閉包含如下名稱的程序窗口，同時試圖用大量垃圾消息淹掉窗口進程使其無法處理消息而自行退出；利用互斥體技術防止同時運行多個病毒。

2.惡意破壞注冊表

修改注冊表鍵值隱藏病毒文件，強行開啟Windows自動播放功能，強行破壞安全模式，斷絕了用戶通過安全模式修復系統(tǒng)的希望。

3.病毒感染雙保險

檢測系統(tǒng)當前的用戶名，確保%systemroot%\\system32\\com目錄下可以寫入文件，同時清空該目錄下的舊病毒和磁碟機免疫文件，以保證病毒感染萬無一失。

4.強行突破殺毒軟件

釋放隱藏的病毒暴力驅(qū)動C:\\NetApi000.sys，保護病毒進程無法被任務管理器結束，重置系統(tǒng)分發(fā)表將所有系統(tǒng)服務重置，從而使多種病毒監(jiān)控程序失效。

5.再伸魔手通殺殺軟

將系統(tǒng)中包含有如下字符的進程關閉：Kmailmon、Guard、Scan、Kissvc、Watch、Kv、Twister、Avp、rav。

試圖強行刪除下列安全軟件服務：MPSVCService、AntiVirService、AVP、KWatchSvc、Ekrn、SymEvent、PAVSRV、Tmmbd、McShield、RsRavMon、EQService、KSysMon。

6.強行關機防不勝防

將病毒埋伏到到%ALLUSERSPROFILE%\\「開始」菜單\\程序\\啟動目錄下，重命名為~.exe.*******.exe，強制關機重啟，令人防不勝防。

實錄二：磁碟機詭秘的啟動機制

重啟后，~.exe.*******.exe運行，創(chuàng)建互斥體，防止系統(tǒng)中有多個病毒進程運行；刪除注冊表自啟動項以使系統(tǒng)中安全軟件無法隨系統(tǒng)自動啟動；將自身復制到%systemroot%\\system32\\com目錄下，重命名為lsass.exe，運行l(wèi)sass.exe后刪除自身；當系統(tǒng)注銷時再次將lsass.exe的拷貝復制到啟動目錄下，實現(xiàn)病毒下次的開機自啟動。

實錄三：

%systemroot%\\system32\\com\\lsass.exe運行后，創(chuàng)建名互斥體，防止系統(tǒng)中有多個病毒進程運行；檢測文件夾下是否存在免疫文件，如果存在執(zhí)行“卷宗一”中第三大惡行——3.病毒感染雙保險，確保病毒感染萬無一失，即在com目錄下釋放文件netcfg.000、netcfg.dll與smss.exe；在%systemroot%\\system32目錄下釋放動態(tài)庫dnsq.dll，將dnsq.dll注冊成特殊的啟動方式，當運行新程序時便會自動加載，安裝全局鉤子，以獨占方式打開boot.ini與host文件，使得其它線程無法操作這兩個文件；

重復執(zhí)行“卷宗一”中相關惡行。

實錄四：

1. 霸王病毒

清除所有硬盤分區(qū)和U盤上的autorun病毒腳本，在每個分區(qū)下生成病毒文件pagefile.pif和磁碟機的腳本autorun.inf，確保磁碟機完全占領U盤和硬盤分區(qū)。將smss.exe作為模塊啟動病毒~.exe，實現(xiàn)病毒進程相互守護。

2. 惡毒，連壓縮文件也不放過

磁碟機病毒會感染系統(tǒng)分區(qū)里的exe；rar、zip；js等類型文件。

Exe文件先制作病毒體，然后覆蓋感染；壓縮文件zip和rar，解壓后感染，感染后再打包壓縮。

實錄五：

磁碟機會強行彈出如下兩個廣告網(wǎng)頁：h**p://d.gxlgdx.com /html/qb2.html，h**p:// f.gxlgdx.com /html/dg2.html。

安全提示

已安裝使用微點主動防御軟件的用戶，無須任何設置，微點主動防御將自動保護您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本，微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版，微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您“發(fā)現(xiàn)未知木馬”，請直接選擇刪除處理(如圖1)。

如果您已經(jīng)將微點主動防御軟件升級到最新版本，微點將報警提示您發(fā)現(xiàn)\" Virus.Win32.Xorer.aex”，請直接選擇刪除（如圖2）。

對于未使用微點主動防御軟件的用戶，微點反病毒專家建議：

1. 不要在不明站點下載非官方版本的軟件進行安裝，避免病毒通過捆綁的方式進入您的系統(tǒng)。

2. 建議關閉U盤自動播放，具體操作步驟：開始->運行->gpedit.msc->計算機配置->管理模板->系統(tǒng)->在右側找到\"關閉自動播放\"->雙擊->選擇\"已啟用\"。

3. 盡快將您的殺毒軟件特征庫升級到最新版本進行查殺，并開啟防火墻攔截網(wǎng)絡異常訪問，如依然有異常情況請注意及時與專業(yè)的安全軟件廠商聯(lián)系獲取技術支持。