“磁碟机”病毒感染数十万台电脑－病毒快报－eNet网络学院

首页 \| 新闻资讯 \| 软件应用 \| 图形图像 \| 网络应用 \| 硬件学堂 \| 程序开发 \| 安全中心 \| 素材下载 \| 作者专区 \| 学院论坛
精选专题 \| 精美壁纸 \| 专家答疑 \| Flash剧场 \| Photoshop \| 名词解释 \| 梦幻桌面 \| PS高手进阶 \| QQ区 \| 图书 \| 黑客教材

Flash教程\| 卡通制作 \| AutoCAD \| 3DMax实例 \| PS视频教程\| 网页制作 \| CorelDRAW\| Firework \| 滤镜与实例 \|	全部视频教程

当前位置：eNet硅谷动力 > 学院频道 > 病毒快报

“磁碟机”病毒感染数十万台电脑

2008-03-21 13:04 来源：eNet硅谷动力

【简介】
近期，一个名为“磁碟机（Worm.Win32.Diskgen）”病毒正在网上肆虐，其危险程度正在加强。该病毒会试图关闭各种杀毒软件，并自动下载几十种盗号木马病毒，给网民带来极大的损失。

加入收藏　

设为首页

　　【快讯】3月21日，瑞星公司发布红色（一级）安全警报。近期，一个名为“磁碟机（Worm.Win32.Diskgen）”病毒正在网上肆虐，其危险程度正在加强。该病毒会试图关闭各种杀毒软件，并自动下载几十种盗号木马病毒，给网民带来极大的损失。瑞星安全专家表示，该病毒的查杀难度超过“熊猫烧香”，截至3月20日，被“磁碟机”感染的电脑已达数十万台。

　　根据监测和技术分析，瑞星安全专家认为，“磁碟机”病毒是一个具有明确经济目的的病毒犯罪团伙所为，他们借鉴了已经被逮捕的“熊猫烧香”病毒团伙的犯罪经验，非常狡猾，在病毒制造、传播和躲避侦查等方面都下足了功夫。瑞星公司已将掌握的相关资料上报给公安部门。

　　针对目前严峻的安全形势，瑞星公司宣布，将向所有受害网民派发瑞星杀毒软件2008版，用户可以登陆瑞星官方网站（www.rising.com.cn)下载，并免费使用一个月。

　　作为国内唯一具备“智能主动防御”功能的杀毒软件，“瑞星杀毒软件2008版”可以有效对抗该病毒的攻击，针对此病毒的攻击行为进行了重点防御，使病毒无法攻击得手；当病毒运行时，瑞星“智能主动防御”所独有的恶意行为分析技术，还可以在系统底层拦截此病毒的恶意行为，使其无法进行任何破坏，是目前防御“磁碟机”病毒的最有效工具。

　　
null

（“磁碟机”病毒一运行，即被瑞星“智能主动防御”的“恶意行为检测”技术拦截）

　　瑞星反病毒专家表示，“磁碟机”病毒来势凶猛，染毒症状比较容易辨认：杀毒软件被关闭，屏幕右下方的监控状态图标改变；中毒计算机无法进入安全模式，进入安全模式时会蓝屏；系统文件被强行设置为隐藏状态。如果出现上述现象，则您的电脑可能已被“磁碟机”病毒感染，请下载安装瑞星杀毒软件2008（免费一个月，www.rising.com.cn），对中毒电脑进行彻底查杀。

　　

　　瑞星杀毒软件用户升级到最新版本（20.36.32版以上），即可全面防御、查杀该病毒。

　　

　五招分辨磁碟机病毒：

　　1、某些杀毒软件和安全软件无法运行，被强行关闭，或者打开后有被“分尸”的现象

　　 null

工具软件Sreng被病毒破坏后

　　2、安全模式被破坏。用户试图进入安全模式时，显示的是蓝屏，这是由于病毒删除了与安全模式相关的注册表键导致。

　　

　　3、无法正常显示隐藏文件，且工具－文件夹选项下的“隐藏受保护的操作系统文件”一项被破坏。

　　4、打开任务管理器，会发现两个lsass.exe和smss.exe进程

　　5、使用Winrar可以发现如下病毒文件。

　　%systemroot%\system32\com\lsass.exe

　　%systemroot%\system32\com\smss.exe

　　%systemroot%\system32\com\netcfg.dll

　　%systemroot%\system32\com\netcfg.000

　　

　　“磁碟机”病毒技术分析概要　　

　　该病毒使用了rootkits技术，可以从系统底层卸载杀毒软件的钩子，同时会释放自己的驱动，这样就会使杀毒软件的监控失效，无法查杀病毒。同时，病毒还会频繁查找杀毒软件的程序窗口，强行将其关闭。那些没有使用智能主动防御技术的杀毒软件，很容易被此病毒破坏无法运行。　　

　　病毒运行后，会在C盘根目录下释放病毒驱动NetApi000.sys，该驱动用来恢复SSDT，把杀毒软件挂的钩子全部卸掉。这样，杀毒软件的很多功能将无法使用，如文件监控、注册表监控等。同时，病毒会在系统里释放smss.exe等病毒文件，实现进程保护，使杀毒软件很难彻底查杀。　　

　　除了关闭杀毒软件之外，磁碟机病毒还会从http://**.c0mo.com、http://**.k0102.com等网站下载数十个木马盗号病毒，试图窃取用户的网游账号装备、网银密码等私密信息。　