磁碟机病毒又名dummycom病毒，是近一个月来传播最迅速，变种最快，破坏力最强的病毒。据360安全中心统计每日感染磁碟机病毒人数已逾100,1000用户！“磁碟机”现已经出现100余个变种，目前病毒感染和传播范围正在呈现蔓延之势。病毒造成的危害及损失10倍于“熊猫烧香”。

背景介绍

简介

特征(传播性 隐蔽性 针对性)

危害

主要症状

传播渠道

解决方案

防御措施

判断电脑是否感染

评论

与“熊猫烧香”的对比

背景介绍

磁碟机病毒并不是一个新病毒，早在2007年2月的时候，就已经初现端倪。当时它仅仅作为一种蠕虫病毒，成为所有反病毒工作者的关注目标。而当时这种病毒的行为，也仅仅局限于，在系统目录%system%system32com生成lsass.exe和smss.exe，感染用户电脑上的exe文件。病毒在此时的传播量和处理的技术难度都不大。

然而在病毒作者经过长达一年的辛勤工作——数据表明，病毒作者几乎每两天就会更新一次病毒——之后，并吸取了其他病毒的特点（例如臭名昭著的AV终结者，攻击破坏安全软件和检测工具），结合了目前病毒流行的传播手段，逐渐发展为目前感染量、破坏性、清除难度都超过同期病毒的新一代毒王。

简介

磁碟机病毒主要通过U盘和局域网ARP攻击传播，如果当你无法访问各个安全软件站点，或者从安全站点的官网上下载的安装程序有问题的话，极有可能是已经中了磁碟机病毒“磁碟机”（又名“千足虫”），病毒感染系统可执行文件，能够利用多种手段终止杀毒软件运行，并可导致被感染计算机系统出现蓝屏、死机等现象，严重危害被感染计算机的系统和数据安全。与其它关闭杀毒软件的病毒不同的是，该病毒利用了多达六种强制关闭杀毒软件和干扰用户查杀的反攻手段，许多自身保护能力不够强壮的杀毒软件在病毒面前纷纷被折。

病毒在每个磁盘下生成pagefile.exe和Autorun.inf文件，并每隔几秒检测文件是否存在，修改注册表键值，破坏“显示系统文件”功能。

每隔一段时间会检测自己破坏过的显示文件、安全模式、Ifeo、病毒文件等项，如被修改则重新破坏。病毒执行后，会删除病毒主体文件。

病毒会监控lsass.exe、smss.exe、dnsq.dll文件，如果假设不存在的话则重新生成。当拷贝失败后，病毒会调用rd /s /q命令删除原来的文件，再重新写入。病毒会连接恶意网址下载大量木马病毒。

该病毒运行后会在系统目录中COM目录（默认为c:\\windows\\system32\\com）下生成名为lsass.exe及smss.exe文件。该病毒会感染除windows及program files目录下所有的EXE格式可执行文件，会造成用户计算机运算速度缓慢，甚至造成系统蓝屏、死机。由于该病毒编写存在一些问题，可能会造成用户安装的软件被损坏，无法使用。

特征

磁碟机病毒是一个下载者病毒，会关闭一些安全工具和杀毒软件并阻止其运行运行，并会不断检测窗口来关闭一些杀毒软件及安全辅助工具，破坏安全模式，删除一些杀毒软件和实时监控的服务，远程注入到其它进程来启动被结束进程的病毒。

传播性

1）在网站上挂马，在用户访问一些不安全的网站时，就会被植入病毒。这也是早期磁碟机最主要的传播方式

2）通过U盘等移动存储的Autorun传播，染毒的机器会在每个分区（包括可移动存储设备）根目录下释放autorun.inf和pagefile.pif两个文件。达到自动运行的目的。

3）局域网内的ARP传播方式，磁碟机病毒会下载其他的ARP病毒，并利用ARP病毒传播的隐蔽性，在局域网内传播。值得注意的是：病毒之间相互利用，狼狈为奸已经成为现在流行病的一个主要趋势，利用其它病毒的特点弥补自身的不足。

隐蔽性

1）传播的隐蔽性：从上面的描述可以看出，病毒在传播过程中，所利用的技术手段都是用户，甚至是杀毒软件无法截获的。

2）启动的隐蔽性：病毒不会主动添加启动项（这是为了逃避系统诊断工具的检测，也是其针对性的体现），而是通过重启重命名方式把C:下的XXXX.log文件（XXXX是一些不固定的数字），改名到“启动”文件夹。重启重命名优先于自启动，启动完成之后又将自己删除或改名回去。已达到逃避安全工具检测的目的，使得当前大多数杀毒软件无法有效避免病毒随机启动。

针对性

1）关闭安全软件，病毒设置全局钩子，根据关键字关闭杀毒软件和诊断工具

另外，病毒还能枚举当前进程名，根据关键字Rav、avp、kv、kissvc、scan…来结束进程。

2）破坏文件的显示方式，病毒修改注册表，使得文件夹选项的隐藏属性被修改，使得隐藏文件无法显示，逃避被用户手动删除的可能

3）破坏安全模式，病毒会删除注册表中和安全模式相关的值，使得安全模式被破坏，无法进入；为了避免安全模式被其他工具修复，病毒还会反复改写注册表。

4）破坏杀毒软件的自保护，病毒会在C盘释放一个NetApi00.sys的驱动文件，并通过服务加载，使得很多杀毒软件的监控和主动防御失效，目的达到后，病毒会将驱动删除，消除痕迹。

5）破坏安全策略，病毒删除注册表HKLMSoftWaePliciesMicrosoftWindowsSafer键和子键。并会反复改写。

6）自动运行，病毒在每个硬盘分区根目录下生成的autorun.inf和pagefile.pif，是以独占式打开的，无法直接删除。

7）阻止其他安全软件随机启动，病毒删除注册表整个RUN项和子键。

8）阻止使用映像劫持方法禁止病毒运行，病毒删除注册表整个Image File Execution Options项和子键。

9）病毒自保护，病毒释放以下文件：

%Systemroot%system32Comsmss.exe

%Systemroot%system32Comnetcfg.000

%Systemroot%system32Comnetcfg.dll

%Systemroot%system32Comlsass.exe

随后smss.exe和lsass.exe会运行起来，由于和系统进程名相同（路径不同），任务管理器无法将它们直接结束。病毒在检测到这两个进程被关闭后，会立即再次启动；如果启动被阻止，病毒就会立即重启系统。

10）对抗分析检测，病毒不会立即对系统进行破坏。而会在系统中潜伏一段时间之后，再开始活动。这样的行为使得无法通过Installwatch等系统快照工具跟踪到病毒的行为。

危害

(1)修改系统默认加载的DLL 列表项来实现DLL 注入。通过远程进程注入，并根据以下关键字关闭杀毒软件和病毒诊断等工具。

(2)修改注册表破坏文件夹选项的隐藏属性修改,使隐藏的文件无法被显示。

(3)自动下载最新版本和其它的一些病毒木马到本地运行。

(4)不断删除注册表的关键键值来来破坏安全模式和杀毒软件和主动防御的服务, 使很多主动防御软件和实时监控无法再被开启。

(5)病毒并不主动添加启动项，而是通过重启重命名方式。这种方式自启动极为隐蔽，现有的安全工具很难检测出来。

(6)病毒会感染除SYSTEM32 目录外其它目录下的所有可执行文件，并且会感染压缩包内的文件。

主要症状

1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象；

2、进程中出现两个lsass.exe和两个smss.exe ,且病毒进程的用户名是当前登陆用户名；（如果只有1个lsass.exe和1个smss.exe，且对应用户名为system，则是系统正常文件，请不用担心）

3、杀毒软件被破坏，多种安全软件无法打开，安全站点无法访问；

4、系统时间被篡改，无法进入安全模式，隐藏文件无法显示；

5、病毒感染.exe文件导致其图标发生变化；

6、会对局域网发起ARP攻击，并篡改下载链接为病毒链接；

7、弹出钓鱼网站

传播渠道

1、U盘/移动硬盘/数码存储卡

2、局域网ARP攻击

3、感染文件

4、恶意网站下载

5、其它木马下载器下载

解决方案

磁碟机病毒和AV终结者、机器狗的表现很类似，技术上讲磁碟机的抗杀能力更强。多种杀毒软件无法拦截磁碟机的最新变种，在中毒之后，安装杀毒软件失败的可能性很大。在某些没有任何防御措施的电脑上，可能磁碟机专杀工具一运行就会被删除。据调查，这种情况是多种病毒混合入侵导致。在这种极端情况下，我们可以尝试的杀毒方案有：

1.尝试启动系统到安全模式或带命令行的安全模式。

具体办法：重启前，从其它正常电脑COPY已经升级到最新的杀毒软件，简单地把整个安装目录COPY过来。安全模式下运行kav32.exe，或者在命令行下运行kavdx。如果这个病毒不是很BT的话，有希望搞定。

2.WINPE急救光盘引导后杀毒。

WINPE启动后，运行kav32.exe或kavdx

3.挂从盘杀毒。

必须注意，在挂从盘杀毒前，正常的电脑务必使用金山清理专家的U盘免疫功能，将所有磁盘的自动运行功能关闭，避免使用双击的方式访问带毒硬盘，禁用自动运行能大大减少中毒的风险

4.重装系统。

装完切记，不要用双击打开其它磁盘或插入可能有毒的U盘，先上网下载金山毒霸，升级到最新，使用清理专家的U盘免疫器，禁用所有磁盘的自动运行。

防御措施

一：及时更新杀毒软件，以拦截最新变种。

不能升级的杀毒软件和不装是一样的，在猪肉涨软件跌的情况下，支持正版软件还是值得的。和“磁碟机”类似的几个病毒都会找杀毒软件下手，注意观察杀毒软件的工作状态，可以充当“磁碟机”之类病毒破坏系统的晴雨表。

二：及时修补操作系统漏洞、浏览器漏洞和应用软件漏洞。

windows update、清理专家都是打补丁好手。播放器、下载工具，最好用官方的最新版，至少老漏洞都修补过。

三：网络防火墙、ARP防火墙一个也不能少。

网络防火墙和ARP防火墙对“磁碟机”在局域网的泛滥可以起到遏制作用。

四：保持足够警惕，小心接收和打开不明程序，不要被文件的图标所蒙蔽。

控制面板中“文件夹选项”的修改文件夹选项，显示所有文件的扩展名，发现EXE/PIF/COM/SCR等类型一定要倍加小心。甭管对方如何解释这个东东是什么，自己先看清楚，确认是文档才能认为是相对安全的。

如果你的资源管理器工具菜单下文件夹选项不见了，或者打开后，修改选项失效，通常也是中毒的标志。

五：常备一套工具箱。

清理专家、procexp、autoruns、冰刃、Sreng，AV终结者专杀，磁碟机专杀。需要时，这些小工具可令系统起死回生。

六：强烈建议禁用自动运行功能，这个鸡肋功能对病毒传播制造了太多机会，自动运行提供的方便性几乎没有价值。

禁止自动运行的方法，超简单，在清理专家的百宝箱，打开U盘免疫器，全部选中所有驱动器之后，点禁用。

七：及时反应，减轻损失。

一旦感染该病毒，应该及时停止登录在线游戏，请求游戏运营商先将帐号冻结，避免遭受损失。就好比你的银行卡丢掉，你的第一反应是给银行打电话，请求冻结帐号。

判断电脑是否感染

1. 某些常用安全软件打不开，打开后立即被关闭，或者打开后有被“分尸”的现象，这是由于病毒不断向这些软件发送垃圾消息导致他们不能响应正常的用户指令导致。

2．安全模式被破坏。用户试图进入安全模式时，显示的是蓝屏，这是由于病毒删除了与安全模式相关的注册表键导致。

3.无法正常显示隐藏文件，且工具－文件夹选项下的“隐藏受保护的操作系统文件”一项被破坏。

4.打开任务管理器，会发现两个lsass.exe和smss.exe进程

5.使用Winrar浏览windows32Com目录下可以发现如下病毒文件

%systemroot%system32comlsass.exe

%systemroot%system32comsmss.exe

%systemroot%system32comnetcfg.dll

%systemroot%system32comnetcfg.000

6、各盘根目录下有pagefile.pif和autorun.inf文件

7、系统目录下存在dnsq.dll文件

评论

江民反病毒工程师经提取病毒样本分析后认为，多数企业都是因为遭受了同一病毒“千足虫”（又名磁碟机）病毒侵害。统计显示，目前“磁碟机”病毒及其变种已感染超过5万台电脑，被感染的电脑分布在政府、企事业等。

反毒专家何公道认为，“磁碟机”病毒是近几年以来发现的病毒技术含量最高、破坏性最强的病毒，其破坏能力、自我保护和反杀毒软件能力均10倍于“熊猫烧香”，所以建议引起反病毒同行以及各大企事业单位网管员的高度重视。

总结：

其实，磁碟机现在并没有什么可怕的。假如使用受限制用户运行的话，磁碟机对您的破坏相当的有限。

与“熊猫烧香”的对比

一、传播途径

“熊猫烧香”病毒有多种传播方式。通过U盘和感染网页文件挂马传播，通过局域网传播，通过攻破一些大型网站，采用在正常网页上挂马的方式传播。 “磁碟机”病毒利用“ARP病毒”在局域网中进行自我传播，病毒通过访问一个恶意网址，下载并自动运行二十多个病毒，通过其中的ARP病毒，“磁碟机”可以瞬间传遍整个网络内电脑。“磁碟机”也可以通过U盘和网页挂马传播，但尚没有发现病毒作者通过攻破大型网站的方式挂马传播的案例，这也是“磁碟机”在传播范围上尚不及“熊猫烧香”的原因，但如果一旦病毒作者通过这种方式大面积传播，后果将不堪设想。

二、反攻杀毒软件能力

“熊猫烧香”和“磁碟机”病毒都有反攻杀毒软件的能力，但不同的是，“熊猫烧香”只是通过发送关闭消息的方式关闭杀毒软件，而“磁碟机”则通过生成一个内核权限的驱动程序来破坏杀毒软件的监控，使杀毒软件的监控功能失效，然后再关闭杀毒软件并阻止杀毒软件升级，并屏蔽主流的杀毒软件网页。这一点上，“磁碟机”远远超过了“熊猫烧香”病毒，导致一些主动防御功能不强的杀毒软件纷纷被关闭，“磁碟机”能够关闭除江民杀毒软件KV2008最新版本之外的大部分主流杀毒软件，这也是为什么众多企业在遇到“磁碟机”病毒时，整个局域网内几乎无一台电脑幸免病毒之灾的原因。

三、自我保护和隐藏能力

“熊猫烧香”采用的是进程保护，病毒首先生成一个系统服务程序来保护其进程不被关闭，只要清除了病毒生成的系统服务，就可以轻松关闭其进程。而“磁碟机”在自我保护和隐藏技术上几乎无所不用其极，通过十余种技术来达到自我保护的目的。例如：利用进程守护技术，发现病毒文件被删除或被关闭，会马上生成重新运行。病毒程序以系统级权限运行，DLL组件会插入到系统中几乎所有的进程中加载运行(包括系统级权限的进程)。利用了关机回写技术，在关闭计算机时把病毒主程序体保存到[启动]文件夹中，实现开机自启动。系统启动后再将[启动]文件夹中病毒主体删除掉，实现既可隐蔽启动，又不被用户发现的目的。使用反HIPS技术绕过部分主动防御程序“HIPS”的监控。利用光纤接入的服务器高速升级病毒体，迅速更新避免杀毒软件查杀。

四、病毒变种和自我更新速度

“熊猫烧香”由于技术上较“磁碟机”简单，加上源代码可能外泄，因此病毒变种较多，而”磁碟机”由于病毒程序复杂，加上目前可以确定其源代码尚未泄露到互联网上，因此一周只出现两到三个变种，最多的时候达到了一天出现两个变种的速度，虽然相较于“熊猫烧香”在变种数量上稍逊一筹，但“磁碟机”的在线升级更新速度之快令人咋舌。江民反病毒专家怀疑“磁碟机”病毒使用了光纤接入的升级服务器，能够实现在下载量很大的情况下，病毒体也可以瞬间自动完成更新。

五、病毒的破坏性

在破坏性上，“熊猫烧香”和“磁碟机”都能够感染电脑内的可执行文件和网页文件，导致系统运行缓慢，不同的是，“磁碟机”在感染文件过程中对感染文件进行了加密存放，使得清除病毒难度更大。两者都可以链接到恶意网页下载木马病毒，但在下载的木马病毒数量上，“磁碟机”远超过“熊猫烧香”，“磁碟机”能够下载二十余种木马病毒，“熊猫烧香”只能下载一个或几个木马。而“磁碟机”借助ARP病毒给企业局域网用户带来了巨大的灾难性事故，由于“磁碟机”可以借助ARP方式瞬间感染所有局域网内电脑，因此许多单位的工作因此中断，造成了不可估量的损失。

六、病毒的表现形式

在表现形式上，“熊猫烧香”的表现十分明显，感染可执行文件生成“熊猫烧香”的图案，十分易于判断。而“磁碟机”的感染则十分低调隐蔽。他千方百计隐藏自身的行踪，普通用户从表面看很难发现有中毒的痕迹，很多用户中毒后尚不自知，除了感觉系统似乎变慢外无其它明显异常症状。而“磁碟机”病毒也正是在这种刻意低调的伪装下，伺机窃取用户的隐私敏感信息，包括游戏帐号和网上银行、网上证券交易等帐号密码，这比“熊猫烧香”明目张胆的打劫更可怕。