“磁碟机”病毒感染数十万台电脑

腾讯科技讯 3月21日，瑞星公司针对“磁碟机病毒感染数十万台电脑”发布红色（一级）安全警报。专家表示，该病毒的查杀难度超过“熊猫烧香”，截至3月20日，被“磁碟机”感染的电脑已达数十万台。

据悉，该病毒会试图关闭各种杀毒软件，并自动下载几十种盗号木马病毒，给网民带来极大的损失。中毒后，用户计算机杀毒软件被关闭，屏幕右下方的监控状态图标改变，中毒计算机无法进入安全模式，进入安全模式时会蓝屏，系统文件被强行设置为隐藏状态。

根据监测和技术分析，“磁碟机”病毒是一个具有明确经济目的的病毒犯罪团伙所为，他们借鉴了已经被逮捕的“熊猫烧香”病毒团伙的犯罪经验，非常狡猾，在病毒制造、传播和躲避侦查等方面都下足了功夫。瑞星公司已将掌握的相关资料上报给公安部门。

网管网www.bitscn.com

针对目前严峻的安全形势，瑞星公司宣布，将向所有受害网民派发瑞星杀毒软件2008版，用户可以登陆瑞星官方网站（www.rising.com.cn)下载，并免费使用一个月。 中国网管联盟bitsCN.com

网管u家u.bitscn@com

五招分辨磁碟机病毒：

中国网管联盟bitsCN.com

1、某些杀毒软件和安全软件无法运行，被强行关闭，或者打开后有被“分尸”的现象

网管下载dl.bitscn.com

中国网管联盟bitsCN.com

工具软件Sreng被病毒破坏后

网管网www_bitscn_com

2、安全模式被破坏。用户试图进入安全模式时，显示的是蓝屏，这是由于病毒删除了与安全模式相关的注册表键导致。

中国网管联盟bitsCN.com

3、无法正常显示隐藏文件，且工具－文件夹选项下的“隐藏受保护的操作系统文件”一项被破坏。

网管联盟bitsCN_com

4、打开任务管理器，会发现两个lsass.exe和smss.exe进程 中国网管论坛bbs.bitsCN.com

5、使用Winrar可以发现如下病毒文件。 中国网管联盟bitsCN.com

%systemroot%\system32\com\lsass.exe

网管网www_bitscn_com

%systemroot%\system32\com\smss.exe 网管u家u.bitsCN.com

%systemroot%\system32\com\netcfg.dll 网管网www_bitscn_com

%systemroot%\system32\com\netcfg.000

网管u家u.bitscn@com

网管网www_bitscn_com

“磁碟机”病毒技术分析概要 网管联盟bitsCN@com

网管联盟bitsCN@com

该病毒使用了rootkits技术，可以从系统底层卸载杀毒软件的钩子，同时会释放自己的驱动，这样就会使杀毒软件的监控失效，无法查杀病毒。同时，病毒还会频繁查找杀毒软件的程序窗口，强行将其关闭。那些没有使用智能主动防御技术的杀毒软件，很容易被此病毒破坏无法运行。 中国网管论坛bbs.bitsCN.com

网管网www.bitscn.com

病毒运行后，会在C盘根目录下释放病毒驱动NetApi000.sys，该驱动用来恢复SSDT，把杀毒软件挂的钩子全部卸掉。这样，杀毒软件的很多功能将无法使用，如文件监控、注册表监控等。同时，病毒会在系统里释放smss.exe等病毒文件，实现进程保护，使杀毒软件很难彻底查杀。

网管网www.bitscn.com

中国网管联盟bitsCN.com

除了关闭杀毒软件之外，磁碟机病毒还会从http://**.c0mo.com、http://**.k0102.com等网站下载数十个木马盗号病毒，试图窃取用户的网游账号装备、网银密码等私密信息。 网管u家u.bitscn@com

网管u家u.bitscn@com

[责任编辑:gydong]