“磁碟机”的意思、由来-中文百科全书

运行过程

病毒运行后首先会在C盘根目录下释放病毒驱动NetApi000.sys，该驱动用来恢复SSDT，把杀毒软件挂的钩子全部卸掉。然后在 System32路径下的com文件夹中释放病毒文件smss.exe、netcfg.dll、netcfg.000、lsass.exe。

然后该程序退出，运行刚刚释放的lsass.exe。

lsass.exe运行后，会在com文件夹下重新释放刚才所释放的文件，同时会在system32文件夹下释放一个新的动态库文件dnsq.dll，然后生成两个随机名的log文件该文件是lsass.exe和dnsq.dll的副本，然后进行以下操作：

1．从以下网址下载脚本http://www.****.****/*.htm、.....。

2．生成名为”MCI Program Com Application”的窗口。

3．程序会删除注册表SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run项下的所有键值。

4．查找带以下关键字的窗口，查找带以下关键字的窗口，如果找到则向其发消息将其退出：RsRavMon、McShield、PAVSRV…

5．启动regsvr32.exe进程，把动态库netcfg.dll注到该进程中。

6．遍历磁盘，在所有磁盘中添加autorun.inf和pagefile.pif，使得用户打开磁盘的同时运行病毒。

7．通过cacls命令启动病毒进程得到完全控制权限，使得其他进程无法访问该进程。

8．感染可执行文件，当找个可执行文件时，把正常文件放在自己最后一个节中，通过病毒自身所带的种子值对正常文件进行加密。

smss.exe用来实现进程保护，程序运行后会进行以下操作：

1．创建一个名为xgahrez的互斥体，防止进程中有多个实例运行。

2．然后创建一个名为MSICTFIME SMSS的窗口，该窗口会对三种消息做出反应：

1．WM_QUERYENDSESSION：当收到该消息时，程序会删除注册表SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run项下的所有键值。

2．WM_TIMER：该程序会设置一个时钟，每隔0.2秒查找“MCI Program Com Application”窗口，如果找不到则运行病毒程序。

3．WM_CAP_START：当收到该消息时，向其发送退出消息。

3．把lsass.exe拷贝到C盘根目录下命名为037589.log，同时把该文件拷到启动目录下实现自启动。

dnsq.dll通过挂接全局消息钩子，把自己注到所有进程中，该动态库主要用来HOOK API和重写注册表。动态库被加载后会进行以下操作：

1．判断自己所在进程是否是lsass.exe、smss.exe、alg.exe，如果是则退出。

2． HOOK psapi.dll中EnumProcessModules、kernel32.dll中 OpenProcess和CloseHandle这几个API使得杀毒软件无法查杀病毒进程。

3．遍历进程如果进程名为lsass.exe、smss.exe、alg.exe则直接退出，如果是其他进程则创建一个线程，该线程每隔2秒进行以下操作：1．修改以下键值使得用户无法看到隐藏的受保护的系统文件

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced

ShowSuperHidden = 0

2．删除以下注册表键值使得用户无法进入安全模式

HKEY_LOCAL_MACHINE SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minimal\\

HKEY_LOCAL_MACHINE SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\

HKEY_LOCAL_MACHINE SYSTEM\\ControlSet001\\Control\\SafeBoot\etwork\\

HKEY_LOCAL_MACHINE SYSTEM\\CurrentControlSet\\Control\\SafeBoot\etwork\\

3．删除以下注册表项，使得镜像劫持失效

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\

Image File Execution Options

4．读取以下注册表键值，判断当前系统是否允许移动设备自动运行，如果不允许则修改为允许

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer

NoDriveTypeAutoRun

5．修改以下注册表项使得手动修改以下键值无效

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\

Advanced\\Folder\\SuperHidden

Type = radio

6．添加以下注册表项使得开机时，系统会把该动态库注到大部分进程中

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\

Windows

AppInit_DLLs = %SYSTEM%\\dnsq.dll.

7．通过calcs命令启动病毒进程得到完全控制权限，使得其他进程无法访问该进程。

8．查找带以下关键字的窗口，如果找到则向其发消息将其退出：

SREng 介绍、360safe、木、antivir、…

netcfg.dll主要用来下载文件，动态库被加载后会从以下网址下载病毒程序

查找窗口”MCI Program Com Application”如果该窗口不存在则运行下载的程序。

9.此病毒会化为碎片，迅速的繁殖，堵塞磁盘使进入不了磁盘，使其电脑崩溃，蓝屏，自动关机，开机文件删除。（开机152H）

历史和症状

磁碟机病毒最早出现在去年2月份，是在windows系统目录下生成lsass.exe及smss.exe文件，并且修改系统时间为1980年，当时这个病毒不是以下载器为目的的，自身也有较多BUG，入侵后，容易引起系统蓝屏死机。以后的变种逐步吸收了AV终结者和机器狗的特性，对抗安全软件的能力逐步增强。

此病毒变种繁多，并且在不断更新升级，可以绕过主动防御、Hips、Byshell技术、监控文件和窗口、破坏组策略/IFEO、U盘感染、进程守护、关绝大部分杀毒软件和屏蔽常见安全工具、感染非系统分区下EXE等文件（（包括rar中的exe文件））、关闭自动更新、破坏安全模式、删除显示受保护的隐藏系统文件选项、开启驱动器自动播放 autorun、浏览器弹出广告、使用ARP欺骗，坏事做绝，普通用户难以处理。

“磁碟机”病毒近日在互联网引起轩然大波，由于病毒严重侵害了众多企业和个人用户电脑系统，引起了全国电脑用户的一致声讨。越来越多的杀毒厂商加入到了剿杀“磁碟机”的行列，打响了又一场反病毒大战。

去年的“熊猫烧香”病毒大战人们记忆犹新，因为病毒在电脑里面生成了很多举着三柱香的熊猫图案，一度引起全国电脑用户的议论和恐慌。然而，“磁碟机”病毒似乎并没有“熊猫烧香”那么火爆，但是许多反病毒专家都一致认为“磁碟机”危害十倍于“熊猫烧香”，这是为什么呢？

分析病毒

反病毒专家何公道近日对“磁碟机”和“熊猫烧香”病毒进行了对比分析，从中可以看出“磁碟机”病毒为什么会被推为“毒王”了。

传播途径

“熊猫烧香”病毒有多种传播方式。通过U盘和感染网页文件挂马传播，通过局域网传播，通过攻破一些大型网站，采用在正常网页上挂马的方式传播。“磁碟机”病毒利用“ARP病毒”在局域网中进行自我传播，病毒通过访问一个恶意网址，下载并自动运行二十多个病毒，通过其中的ARP病毒，“磁碟机”可以瞬间传遍整个网络内电脑。

“磁碟机”也可以通过U盘和网页挂马传播，但目前尚没有发现病毒作者通过攻破大型网站的方式挂马传播的案例，这也是目前“磁碟机”在传播范围上尚不及“熊猫烧香”的原因，但如果一旦病毒作者通过这种方式大面积传播，后果将不堪设想。

传播途径分类

1.U盘/移动硬盘/数码存储卡传播

2.各种木马下载器之间相互传播

3.通过恶意网站下载

4.通过感染文件传播

5.通过内网ARP攻击传播

反杀毒

“熊猫烧香”和“磁碟机”病毒都有反攻杀毒软件的能力，但不同的是，“熊猫烧香”只是通过发送关闭消息的方式关闭杀毒软件，而“磁碟机”则通过生成一个内核权限的驱动程序来破坏杀毒软件的监控，使杀毒软件的监控功能失效，然后再关闭杀毒软件并阻止杀毒软件升级，并屏蔽主流的杀毒软件网页。

这一点上，“磁碟机”远远超过了“熊猫烧香”病毒，导致一些主动防御功能不强的杀毒软件纷纷被关闭，目前，“磁碟机”能够关闭一些主流杀毒软件，这也是为什么众多企业在遇到“磁碟机”病毒时，整个局域网内几乎无一台电脑幸免病毒之灾的原因。

生存能力

“熊猫烧香”采用的是进程保护，病毒首先生成一个系统服务程序来保护其进程不被关闭，只要清除了病毒生成的系统服务，就可以轻松关闭其进程。

而“磁碟机”在自我保护和隐藏技术上几乎无所不用其极，通过十余种技术来达到自我保护的目的。例如：利用进程守护技术，发现病毒文件被删除或被关闭，会马上生成重新运行。病毒程序以系统级权限运行，DLL组件会插入到系统中几乎所有的进程中加载运行(包括系统级权限的进程)。利用了关机回写技术，在关闭计算机时把病毒主程序体保存到[启动]文件夹中，实现开机自启动。系统启动后再将[启动]文件夹中病毒主体删除掉，实现既可隐蔽启动，又不被用户发现的目的。使用反HIPS技术绕过部分主动防御程序“HIPS”的监控。利用光纤接入的服务器高速升级病毒体，迅速更新避免杀毒软件查杀。

变种和更新

“熊猫烧香”由于技术上较“磁碟机”简单，加上源代码可能外泄，因此病毒变种较多，而”磁碟机”由于病毒程序复杂，加上目前可以确定其源代码尚未泄露到互联网上，因此一周只出现两到三个变种，最多的时候达到了一天出现两个变种的速度，虽然相较于“熊猫烧香”在变种数量上稍逊一筹，但“磁碟机”的在线升级更新速度之快令人咋舌。

反病毒专家甚至怀疑，“磁碟机”病毒使用了光纤接入的升级服务器，能够实现在下载量很大的情况下，病毒体也可以瞬间自动完成更新。

破坏性

在破坏性上，“熊猫烧香”和“磁碟机”都能够感染电脑内的可执行文件和网页文件，导致系统运行缓慢，不同的是，“磁碟机”在感染文件过程中对感染文件进行了加密存放，使得清除病毒难度更大。两者都可以链接到恶意网页下载木马病毒，但在下载的木马病毒数量上，“磁碟机”远超过“熊猫烧香”，“磁碟机”能够下载二十余种木马病毒，“熊猫烧香”只能下载一个或几个木马。

而“磁碟机”借助ARP病毒给企业局域网用户带来了巨大的灾难性事故，由于“磁碟机”可以借助ARP方式瞬间感染所有局域网内电脑，因此许多单位的工作因此中断，造成了不可估量的损失。

表现形式

在表现形式上，“熊猫烧香”的表现十分明显，感染可执行文件生成“熊猫烧香”的图案，十分易于判断。而“磁碟机”的感染则十分低调隐蔽。他千方百计隐藏自身的行踪，普通用户从表面看很难发现有中毒的痕迹，很多用户中毒后尚不自知，除了感觉系统似乎变慢外无其它明显异常症状。

而“磁碟机”病毒也正是在这种刻意低调的伪装下，伺机窃取用户的隐私敏感信息，包括游戏帐号和网上银行、网上证券交易等帐号密码，这比“熊猫烧香”明目张胆的打劫更可怕。

病毒分析

磁碟机病毒至今已有多个变种，该病毒感染系统之后，会象蚂蚁搬家一样将更多木马下载到本地运行，以盗号木马为主。同时，磁碟机病毒还会下载其它木马下载器，比如AV终结者，中毒后的典型表现是众多病毒木马混合感染，其中下载的ARP病毒会对局域网产生严重影响。

对于普通电脑用户来说，磁碟机病毒入侵后，除了安全软件不可用之外，系统的其它功能基本正常。因此，普通用户发现中毒是在盗号事件发生之后，一般用户不象我们这样关注安全软件和系统管理工具是不是能够运行。并且，在这种情况下，用户基本无法正常使用杀毒软件完成病毒清除，甚至想重新安装另一个杀毒软件也变得不可能。

典型表现

1.注册全局HOOK，扫描含有常用安全软件关键字的程序窗口，发送大量消息，致使安全软件崩溃

2.破坏文件夹选项，使用户不能查看隐藏文件

3.删除注册表中关于安全模式的值，防止启动到安全模式

4.创建驱动，保护自身。该驱动可实现开机删除自身，关机创建延迟重启的项目实现自动加载。

5.修改注册表，令组策略中的软件限制策略不可用。

6.不停扫描并删除安全软件的注册键值，防止安全软件开机启动。

7.在各磁盘创建autorun.inf和pagefile.pif，利用双击磁盘或插入移动设备时自动运行功能传播。

8.将注册表的整个 RUN 项及其子键全部删除，阻止安全软件自动加载

9.释放多个病毒执行程序，完成更多任务

10.病毒通过重启重命名方式加载，位于注册表下的Pending RenameOperations字串。

11.感染除system32目录外的其它EXE文件（病毒感染行为不断进化，从感染其它分区到感染系统分区），最特别的是病毒还会解包RAR文件，感染其中的EXE之后，再打包成RAR。

12.下载大量木马到本地运行，用户最终受损情况，决定于这些木马的行为。

解决方案

磁碟机病毒和AV终结者、机器狗的表现很类似，技术上讲磁碟机的抗杀能力更强。从我们了解到的情况看，多种杀毒软件无法拦截磁碟机的最新变种，在中毒之后，安装杀毒软件失败的可能性很大。因此，目前的方案是优先使用磁碟机专杀工具。

在某些没有任何防御措施的电脑上，可能磁碟机专杀工具一运行就会被删除。据调查，这种情况是多种病毒混合入侵导致。在这种极端情况下，我们可以尝试的杀毒方案有：

1.尝试启动系统到安全模式或带命令行的安全模式（很可能会失败）

具体办法：重启前，从其它正常电脑COPY已经升级到最新的杀毒软件，简单地把整个安装目录COPY过来。安全模式下运行kav32.exe，或者在命令行下运行kavdx。如果这个病毒不是很BT的话，有希望搞定。

2.WINPE急救光盘引导后杀毒（Winpe不易得到，不是所有人都有，需要的可以搜索一下到网上找。）

WINPE启动后，运行kav32.exe或kavdx

3.挂从盘杀毒（有多台电脑的情况下，比较容易使用）

必须注意，在挂从盘杀毒前，正常的电脑务必使用金山清理专家的U盘免疫功能，将所有磁盘的自动运行功能关闭，避免使用双击的方式访问带毒硬盘，禁用自动运行能大大减少中毒的风险（在这里咒骂微软10000遍，这个自动运行就是为传播病毒准备的，除此之外，什么用都没有）

4.使用专杀工具进行杀毒：

目前，各大杀软厂商都发布了磁碟机病毒的专杀工具。建议用专杀工具配合本机杀毒软件进行杀毒。注意：用“专杀”能否清除病毒不是关键，关键是杀毒后要多次重启进行反复查杀。

5.你遇到了极端的情况，前四个条件都不具备，手工杀毒又不会，那只有一招，把C盘格了重装吧，装完切记，不要用双击打开其它磁盘或插入可能有毒的U盘，先上网下载毒霸，升级到最新，使用清理专家的U盘免疫器，禁用所有磁盘的自动运行。

词条	磁碟机
释义	简介：这是一个MFC写的感染型病毒。运行过程历史和症状综合评价分析病毒(传播途径传播途径分类反杀毒生存能力变种和更新破坏性表现形式病毒分析典型表现解决方案) 运行过程病毒运行后首先会在C盘根目录下释放病毒驱动NetApi000.sys，该驱动用来恢复SSDT，把杀毒软件挂的钩子全部卸掉。然后在 System32路径下的com文件夹中释放病毒文件smss.exe、netcfg.dll、netcfg.000、lsass.exe。然后该程序退出，运行刚刚释放的lsass.exe。 lsass.exe运行后，会在com文件夹下重新释放刚才所释放的文件，同时会在system32文件夹下释放一个新的动态库文件dnsq.dll，然后生成两个随机名的log文件该文件是lsass.exe和dnsq.dll的副本，然后进行以下操作： 1．从以下网址下载脚本http://www.**.*/.htm、.....。 2．生成名为”MCI Program Com Application”的窗口。 3．程序会删除注册表SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run项下的所有键值。 4．查找带以下关键字的窗口，查找带以下关键字的窗口，如果找到则向其发消息将其退出：RsRavMon、McShield、PAVSRV… 5．启动regsvr32.exe进程，把动态库netcfg.dll注到该进程中。 6．遍历磁盘，在所有磁盘中添加autorun.inf和pagefile.pif，使得用户打开磁盘的同时运行病毒。 7．通过cacls命令启动病毒进程得到完全控制权限，使得其他进程无法访问该进程。 8．感染可执行文件，当找个可执行文件时，把正常文件放在自己最后一个节中，通过病毒自身所带的种子值对正常文件进行加密。 smss.exe用来实现进程保护，程序运行后会进行以下操作： 1．创建一个名为xgahrez的互斥体，防止进程中有多个实例运行。 2．然后创建一个名为MSICTFIME SMSS的窗口，该窗口会对三种消息做出反应： 1．WM_QUERYENDSESSION：当收到该消息时，程序会删除注册表SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run项下的所有键值。 2．WM_TIMER：该程序会设置一个时钟，每隔0.2秒查找“MCI Program Com Application”窗口，如果找不到则运行病毒程序。 3．WM_CAP_START：当收到该消息时，向其发送退出消息。 3．把lsass.exe拷贝到C盘根目录下命名为037589.log，同时把该文件拷到启动目录下实现自启动。 dnsq.dll通过挂接全局消息钩子，把自己注到所有进程中，该动态库主要用来HOOK API和重写注册表。动态库被加载后会进行以下操作： 1．判断自己所在进程是否是lsass.exe、smss.exe、alg.exe，如果是则退出。 2． HOOK psapi.dll中EnumProcessModules、kernel32.dll中 OpenProcess和CloseHandle这几个API使得杀毒软件无法查杀病毒进程。 3．遍历进程如果进程名为lsass.exe、smss.exe、alg.exe则直接退出，如果是其他进程则创建一个线程，该线程每隔2秒进行以下操作：1．修改以下键值使得用户无法看到隐藏的受保护的系统文件 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced ShowSuperHidden = 0 2．删除以下注册表键值使得用户无法进入安全模式 HKEY_LOCAL_MACHINE SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minimal\\ HKEY_LOCAL_MACHINE SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\ HKEY_LOCAL_MACHINE SYSTEM\\ControlSet001\\Control\\SafeBoot\etwork\\ HKEY_LOCAL_MACHINE SYSTEM\\CurrentControlSet\\Control\\SafeBoot\etwork\\ 3．删除以下注册表项，使得镜像劫持失效 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Image File Execution Options 4．读取以下注册表键值，判断当前系统是否允许移动设备自动运行，如果不允许则修改为允许 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer NoDriveTypeAutoRun 5．修改以下注册表项使得手动修改以下键值无效 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ Advanced\\Folder\\SuperHidden Type = radio 6．添加以下注册表项使得开机时，系统会把该动态库注到大部分进程中 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Windows AppInit_DLLs = %SYSTEM%\\dnsq.dll. 7．通过calcs命令启动病毒进程得到完全控制权限，使得其他进程无法访问该进程。 8．查找带以下关键字的窗口，如果找到则向其发消息将其退出： SREng 介绍、360safe、木、antivir、… netcfg.dll主要用来下载文件，动态库被加载后会从以下网址下载病毒程序查找窗口”MCI Program Com Application”如果该窗口不存在则运行下载的程序。 9.此病毒会化为碎片，迅速的繁殖，堵塞磁盘使进入不了磁盘，使其电脑崩溃，蓝屏，自动关机，开机文件删除。（开机152H）历史和症状磁碟机病毒最早出现在去年2月份，是在windows系统目录下生成lsass.exe及smss.exe文件，并且修改系统时间为1980年，当时这个病毒不是以下载器为目的的，自身也有较多BUG，入侵后，容易引起系统蓝屏死机。以后的变种逐步吸收了AV终结者和机器狗的特性，对抗安全软件的能力逐步增强。综合评价此病毒变种繁多，并且在不断更新升级，可以绕过主动防御、Hips、Byshell技术、监控文件和窗口、破坏组策略/IFEO、U盘感染、进程守护、关绝大部分杀毒软件和屏蔽常见安全工具、感染非系统分区下EXE等文件（（包括rar中的exe文件））、关闭自动更新、破坏安全模式、删除显示受保护的隐藏系统文件选项、开启驱动器自动播放 autorun、浏览器弹出广告、使用ARP欺骗，坏事做绝，普通用户难以处理。 “磁碟机”病毒近日在互联网引起轩然大波，由于病毒严重侵害了众多企业和个人用户电脑系统，引起了全国电脑用户的一致声讨。越来越多的杀毒厂商加入到了剿杀“磁碟机”的行列，打响了又一场反病毒大战。去年的“熊猫烧香”病毒大战人们记忆犹新，因为病毒在电脑里面生成了很多举着三柱香的熊猫图案，一度引起全国电脑用户的议论和恐慌。然而，“磁碟机”病毒似乎并没有“熊猫烧香”那么火爆，但是许多反病毒专家都一致认为“磁碟机”危害十倍于“熊猫烧香”，这是为什么呢？分析病毒反病毒专家何公道近日对“磁碟机”和“熊猫烧香”病毒进行了对比分析，从中可以看出“磁碟机”病毒为什么会被推为“毒王”了。传播途径 “熊猫烧香”病毒有多种传播方式。通过U盘和感染网页文件挂马传播，通过局域网传播，通过攻破一些大型网站，采用在正常网页上挂马的方式传播。“磁碟机”病毒利用“ARP病毒”在局域网中进行自我传播，病毒通过访问一个恶意网址，下载并自动运行二十多个病毒，通过其中的ARP病毒，“磁碟机”可以瞬间传遍整个网络内电脑。 “磁碟机”也可以通过U盘和网页挂马传播，但目前尚没有发现病毒作者通过攻破大型网站的方式挂马传播的案例，这也是目前“磁碟机”在传播范围上尚不及“熊猫烧香”的原因，但如果一旦病毒作者通过这种方式大面积传播，后果将不堪设想。传播途径分类 1.U盘/移动硬盘/数码存储卡传播 2.各种木马下载器之间相互传播 3.通过恶意网站下载 4.通过感染文件传播 5.通过内网ARP攻击传播反杀毒 “熊猫烧香”和“磁碟机”病毒都有反攻杀毒软件的能力，但不同的是，“熊猫烧香”只是通过发送关闭消息的方式关闭杀毒软件，而“磁碟机”则通过生成一个内核权限的驱动程序来破坏杀毒软件的监控，使杀毒软件的监控功能失效，然后再关闭杀毒软件并阻止杀毒软件升级，并屏蔽主流的杀毒软件网页。这一点上，“磁碟机”远远超过了“熊猫烧香”病毒，导致一些主动防御功能不强的杀毒软件纷纷被关闭，目前，“磁碟机”能够关闭一些主流杀毒软件，这也是为什么众多企业在遇到“磁碟机”病毒时，整个局域网内几乎无一台电脑幸免病毒之灾的原因。生存能力 “熊猫烧香”采用的是进程保护，病毒首先生成一个系统服务程序来保护其进程不被关闭，只要清除了病毒生成的系统服务，就可以轻松关闭其进程。而“磁碟机”在自我保护和隐藏技术上几乎无所不用其极，通过十余种技术来达到自我保护的目的。例如：利用进程守护技术，发现病毒文件被删除或被关闭，会马上生成重新运行。病毒程序以系统级权限运行，DLL组件会插入到系统中几乎所有的进程中加载运行(包括系统级权限的进程)。利用了关机回写技术，在关闭计算机时把病毒主程序体保存到[启动]文件夹中，实现开机自启动。系统启动后再将[启动]文件夹中病毒主体删除掉，实现既可隐蔽启动，又不被用户发现的目的。使用反HIPS技术绕过部分主动防御程序“HIPS”的监控。利用光纤接入的服务器高速升级病毒体，迅速更新避免杀毒软件查杀。变种和更新 “熊猫烧香”由于技术上较“磁碟机”简单，加上源代码可能外泄，因此病毒变种较多，而”磁碟机”由于病毒程序复杂，加上目前可以确定其源代码尚未泄露到互联网上，因此一周只出现两到三个变种，最多的时候达到了一天出现两个变种的速度，虽然相较于“熊猫烧香”在变种数量上稍逊一筹，但“磁碟机”的在线升级更新速度之快令人咋舌。反病毒专家甚至怀疑，“磁碟机”病毒使用了光纤接入的升级服务器，能够实现在下载量很大的情况下，病毒体也可以瞬间自动完成更新。破坏性在破坏性上，“熊猫烧香”和“磁碟机”都能够感染电脑内的可执行文件和网页文件，导致系统运行缓慢，不同的是，“磁碟机”在感染文件过程中对感染文件进行了加密存放，使得清除病毒难度更大。两者都可以链接到恶意网页下载木马病毒，但在下载的木马病毒数量上，“磁碟机”远超过“熊猫烧香”，“磁碟机”能够下载二十余种木马病毒，“熊猫烧香”只能下载一个或几个木马。而“磁碟机”借助ARP病毒给企业局域网用户带来了巨大的灾难性事故，由于“磁碟机”可以借助ARP方式瞬间感染所有局域网内电脑，因此许多单位的工作因此中断，造成了不可估量的损失。表现形式在表现形式上，“熊猫烧香”的表现十分明显，感染可执行文件生成“熊猫烧香”的图案，十分易于判断。而“磁碟机”的感染则十分低调隐蔽。他千方百计隐藏自身的行踪，普通用户从表面看很难发现有中毒的痕迹，很多用户中毒后尚不自知，除了感觉系统似乎变慢外无其它明显异常症状。而“磁碟机”病毒也正是在这种刻意低调的伪装下，伺机窃取用户的隐私敏感信息，包括游戏帐号和网上银行、网上证券交易等帐号密码，这比“熊猫烧香”明目张胆的打劫更可怕。病毒分析磁碟机病毒至今已有多个变种，该病毒感染系统之后，会象蚂蚁搬家一样将更多木马下载到本地运行，以盗号木马为主。同时，磁碟机病毒还会下载其它木马下载器，比如AV终结者，中毒后的典型表现是众多病毒木马混合感染，其中下载的ARP病毒会对局域网产生严重影响。对于普通电脑用户来说，磁碟机病毒入侵后，除了安全软件不可用之外，系统的其它功能基本正常。因此，普通用户发现中毒是在盗号事件发生之后，一般用户不象我们这样关注安全软件和系统管理工具是不是能够运行。并且，在这种情况下，用户基本无法正常使用杀毒软件完成病毒清除，甚至想重新安装另一个杀毒软件也变得不可能。典型表现 1.注册全局HOOK，扫描含有常用安全软件关键字的程序窗口，发送大量消息，致使安全软件崩溃 2.破坏文件夹选项，使用户不能查看隐藏文件 3.删除注册表中关于安全模式的值，防止启动到安全模式 4.创建驱动，保护自身。该驱动可实现开机删除自身，关机创建延迟重启的项目实现自动加载。 5.修改注册表，令组策略中的软件限制策略不可用。 6.不停扫描并删除安全软件的注册键值，防止安全软件开机启动。 7.在各磁盘创建autorun.inf和pagefile.pif，利用双击磁盘或插入移动设备时自动运行功能传播。 8.将注册表的整个 RUN 项及其子键全部删除，阻止安全软件自动加载 9.释放多个病毒执行程序，完成更多任务 10.病毒通过重启重命名方式加载，位于注册表下的Pending RenameOperations字串。 11.感染除system32目录外的其它EXE文件（病毒感染行为不断进化，从感染其它分区到感染系统分区），最特别的是病毒还会解包RAR文件，感染其中的EXE之后，再打包成RAR。 12.下载大量木马到本地运行，用户最终受损情况，决定于这些木马的行为。解决方案磁碟机病毒和AV终结者、机器狗的表现很类似，技术上讲磁碟机的抗杀能力更强。从我们了解到的情况看，多种杀毒软件无法拦截磁碟机的最新变种，在中毒之后，安装杀毒软件失败的可能性很大。因此，目前的方案是优先使用磁碟机专杀工具。在某些没有任何防御措施的电脑上，可能磁碟机专杀工具一运行就会被删除。据调查，这种情况是多种病毒混合入侵导致。在这种极端情况下，我们可以尝试的杀毒方案有： 1.尝试启动系统到安全模式或带命令行的安全模式（很可能会失败）具体办法：重启前，从其它正常电脑COPY已经升级到最新的杀毒软件，简单地把整个安装目录COPY过来。安全模式下运行kav32.exe，或者在命令行下运行kavdx。如果这个病毒不是很BT的话，有希望搞定。 2.WINPE急救光盘引导后杀毒（Winpe不易得到，不是所有人都有，需要的可以搜索一下到网上找。） WINPE启动后，运行kav32.exe或kavdx 3.挂从盘杀毒（有多台电脑的情况下，比较容易使用）必须注意，在挂从盘杀毒前，正常的电脑务必使用金山清理专家的U盘免疫功能，将所有磁盘的自动运行功能关闭，避免使用双击的方式访问带毒硬盘，禁用自动运行能大大减少中毒的风险（在这里咒骂微软10000遍，这个自动运行就是为传播病毒准备的，除此之外，什么用都没有） 4.使用专杀工具进行杀毒：目前，各大杀软厂商都发布了磁碟机病毒的专杀工具。建议用专杀工具配合本机杀毒软件进行杀毒。注意：用“专杀”能否清除病毒不是关键，关键是杀毒后要多次重启进行反复查杀。 5.你遇到了极端的情况，前四个条件都不具备，手工杀毒又不会，那只有一招，把C盘格了重装吧，装完切记，不要用双击打开其它磁盘或插入可能有毒的U盘，先上网下载毒霸，升级到最新，使用清理专家的U盘免疫器，禁用所有磁盘的自动运行。
随便看	有救有看头阅读美化工具有壳目有客来有客来灯饰仓储商城有客数字营销平台有空的旅途有空的鼹鼠有空读点英文：无处安放的美丽哀愁有空就读点英文:给心灵洗个澡有空就读点英文:心情是一种选择有空中三时有孔虫界有孔虫类有孔虫门有孔虫软泥有孔带有孔拂子介有孔类有口有口福有口莫辩有酷团有框画有愧