【注意】现在最强的病毒——“磁碟机”病毒！

coolfax

近日，“磁碟机”病毒在互联网疯狂传播，至今已有超过5万余台电脑感染病毒，病毒造成的直接和间接损失十分巨大。反病毒专家对“磁碟机”病毒进行了详尽的 技术分析，令人感到吃惊的是，病毒竟然使用光纤接入的服务器来升级病毒体，即使在下载量巨大的情况下，病毒升级服务器都可以瞬间完成病毒的更新。

磁碟机病毒又名dummycom病毒，是近一个月来传播最迅速，变种最快，破坏力最强的病毒。据360安全中心统计每日感染磁碟机病毒人数已逾100,1000用户！


中毒后的症状

       反病毒专家介绍，“磁碟机”病毒是典型的驱动病毒。病毒首先利用驱动程序使部分安全软件的监控失效，然后强行关闭目前几乎所有安全工具软件以及几乎所有的杀毒软件。

    截止今日，根据现有的数据统计，“磁碟机”病毒及其变种已感染超过5万台电脑，被感染的电脑分布在政府、企事业等众多单位和部门，同时也有大量的个人用户感染病毒。“磁碟机”已经出现100多余个变种，目前病毒感染和传播范围正在呈现蔓延之势。病毒造成的危害及损失十倍于“熊猫烧香”。

    专家介绍， 电脑感染“磁碟机”变种病毒后，症状表现为运行任意程序时系统经常性死机或长时间卡住不动，病毒会以加密感染的方式感染除系统盘外的其它所有分区内的EXE文件、网页文件、RAR和 ZIP压缩包中的文件等。被感染的文件图标变为16位图标，图标变得模糊，类似马赛克状。病毒一旦发现带有符合安全工具软件相关的窗口名存在，就会强行将其关闭，并发送洪水似垃圾消息。在所有盘符下生成“autorun.inf”和病毒程序文件体，并且会实时检测保护这些文件。病毒会下载20余种木马病毒，用以窃取中毒电脑中有价值的隐私信息。病毒通过十余种方式实现自我保护和避免被杀毒软件查杀，其隐藏和自我保护技术超过以往任何同类病毒。

    反毒专家认为，磁碟机病毒是近几年以来发现的病毒技术含量最高、破坏性最强的病毒，其破坏能力、自我保护和反杀毒软件能力均十倍于“熊猫烧香”，建议引起反病毒同行以及各大企事业单位网管员的高度重视。针对该病毒，目前国内反病毒中心已研发推出了“磁碟机”专杀和修复工具，可以强力清除目前所有的变种并有效恢复被感染的EXE文件。

病毒的技术分析

       “磁碟机”通过一个ARP病毒在局域网中迅速传播。在感染了该“ARP病毒”的局域网中，除了系统静态绑定MAC地址的计算机外，其他系统所下载的所有正常EXE程序文件都变成磁碟机病毒变种，该变种文件名为“setup.exe”，系一个RAR自解压格式的安装包，运行后就会在用户系统中安装“磁碟机” 变种。

       病毒会破坏注册表，使用户无法进入“安全模式”，以及无法查看“隐藏的系统文件”，并实时检测保护这个被修改过的病毒选项，恢复后立即重写。破坏注册表，使用户注册表启动项失效，导致部分通过注册表启动项开机运行的安全软件就无法开机启动运行了。修改注册表，实现开启自动播放的功能。防止病毒体被重定向，删除注册表中的IFEO进程映像劫持项。删除组策略限制的注册表项。

       病毒通过搜索注册表，直接强行删除所有安全软件的关联注册表项，使其无法开启监控。利用进程守护技术将病毒的“lsass.exe”、 “smss.exe”进程主体和DLL组件进行关联，实现进程守护。发现病毒文件被删除或被关闭，会马上生成重新。病毒程序以系统级权限运行，部分进程使用了进程保护技术。

       病毒的自我保护和隐藏技术无所不用其极。将DLL组件会插入到系统中几乎所有的进程中加载运行(包括系统级权限的进程)。利用了关机回写技术，在关闭计算机时把病毒主程序体保存到[启动]文件夹中，实现开机自启动。系统启动后再将“启动”文件夹中病毒主体删除掉。这样可以隐蔽启动，而不被用户发现。

       同时，为了避开杀毒软件主动防御功能，病毒采用了反“Hips”的监控技术，为就使得部分仅通过HIPS技术实现主动防御功能的杀毒软件失效。

       病毒有自动升级功能，并有自己的光纤接入的升级服务器，即使在下载流量很大的情况下也可以瞬间升级更新病毒体。该病毒还是反向连接木马下载器，下载列表配置文件在骇客的远程服务器上，骇客可以随时更新不同的病毒变种下载到被感染计算机中安装运行。病毒会下载20种以上的木马病毒程序，其中包括有网络游戏盗号木马和ARP病毒等。病毒还会通过独占的方式访问系统“boot.ini”和“hosts”配置文件。防止DOS级删除病毒体和用hosts文件来屏蔽病毒的恶意网站域名地址。利用控制台命令来设置病毒程序文件的访问运行权限。利用“ping”命令在后台检测当前计算机网络是否连通，如果连通则利用系统 “IE浏览器”进程在后台与骇客服务器进程通信，这样可以躲避部分防火墙的监控。

       针对该病毒，国内反病毒中心已经推出了免费专杀工具，可以有效查杀100多个变种并修复并病毒感染的文件，建议感染病毒的用户下载使用。

coolfax

“磁碟机”病毒已经成为近期各大反病毒论坛求助量最大的问题之一，中毒计算机可能出现以下一种或多种异常现象：
1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象；
2、进程中出现两个lsass.exe和两个smss.exe，且病毒进程的用户名是当前登陆用户名；
3、杀毒软件被破坏，无法正常开启，多种安全辅助工具无法正常开启；
4、系统时间被篡改；
5、病毒感染.exe文件导致其图标发生变化；
6、无法进入安全模式；
7、隐藏文件无法显示；
8、组策略被破坏。

专杀工具：

瑞星“磁碟机”专杀工具处理
http://download.rising.com.cn/zsgj/ravDiskGen.exe

360磁碟机病毒（dummycom）专杀工具

http://dl.360safe.com/killer_dummycom.exe

毒霸机器狗/磁碟机/AV终结者专杀工具

http://down.[url]www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer60.com [/url]

【病毒预防】360ARP防火墙V2.0正式版

http://down.360safe.com/360AntiArp.exe

coolfax

手工杀毒：

1、先下载好专杀，360出的，放在非系统的任意盘上。（也就是说如果你系统装在C盘，那就把专杀放在D或E或F盘上！）
2、重装或还原系统。
3、这时可以进入安全模式了。（系统还原后系统盘的病毒已经清除，但另几个盘并没有解决）
4、进入安全模式后打开专杀杀毒！此时要千万注意，因为这个病毒是附在每个盘上的，所以你的其它盘不能用双击打开，最好是在资源管理器里打开放专杀的盘，然后再打开专杀进行杀毒。
5、杀毒。过程不会很慢，但是要有心理准备，杀出来的所有后缀为.exe的文件都会被删除。不过如果要彻底清除，也只有这样了！
6、再杀毒。最好是下最新版的杀毒软件再多杀杀，确保安全。
7、重启计算机，一切OK。这时程序里的smss.exe,lsass.exe会变成大写的SMSS和LSASS，放心，这是必要的系统进程。
事情到了这一步，差不多就解决了！剩下的就要重新安装那些被删掉的程序了

apwang

没有这么麻烦吧
我一般使用PE启动，然后手动 删除
主要是按照创建时间来搜索删除，注意它会将~.exe,****的一堆烂文件写到不同用户的启动项

lsj

看来又有得忙了。

coolzcl

俺这还一切正常

单恋一枝花

谢谢提醒

tomok

看来确是有点怕了。道高一尺魔高一丈。

tiger9999

怀疑是不是杀毒软件公司请人做的，这样好卖软件，否则没什么利可图，也就不会去做这些病毒了。这两种类型的人或公司都强烈谴责。

liwinhon

楼上说的也不无可能，现在商业社会，利益为先。
无论如何预防胜于治疗，网络危机四伏，出入小心谨慎。