磁碟机病毒_磁碟机源代码_磁碟机汇编(2)

9）病毒自保护，病毒释放以下文件：

%Systemroot%system32Comsmss.exe

%Systemroot%system32Comnetcfg.000

%Systemroot%system32Comnetcfg.dll

%Systemroot%system32Comlsass.exe

随后smss.exe和lsass.exe会运行起来，由于和系统进程名相同（路径不同），任务管理器无法将它们直接结束。病毒在检测到这两个进程被关闭后，会立即再次启动；如果启动被阻止，病毒就会立即重启系统。

10）对抗分析检测，病毒不会立即对系统进行破坏。而会在系统中潜伏一段时间之后，再开始活动。这样的行为使得无法通过Installwatch等系统快照工具跟踪到病毒的行为。

危害性

1）病毒会自动下载自己的最新版本，和其他一些木马到本地运行

2）病毒会感染用户机器上的exe文件，包括压缩包内的exe文件，并会通过UPX加壳。

3）盗取用户虚拟资产和其他有用信息

用户环境的表现

1）杀毒软件和安全工具无法运行

2）进入安全模式蓝屏

3）由于Exe文件被感染，重装系统无效

4）用户信息丢失，甚至有些程序无法使用

十大现象:了解“磁碟机”病毒会做什么

1、在C盘根目录下释放驱动NetApi000.sys，卸掉杀毒软件的钩子，使其监控失效。

2、从以下网站下载新病毒： ***.**/*.htm ***.**/**.asp ****.**/**.asp ***.**/***.asp ***.**/****.gif

3、删除注册表启动项键值，使病毒外的所有软件无法自启动。例如QQ、msn等可以自行启动的软件就会起不来。

4、搜索窗口字符，强行关闭杀毒软件和专杀工具。

5、在所有磁盘中添加autorun.inf和pagefile.pif，使得用户双击打开磁盘的同时运行病毒，从而可以U盘传播

6、通过calcs命令启动病毒进程得到完全控制权限，使得其他进程无法访问该进程，无法删除，无法手工结束

7、感染可执行文件，对正常文件进行加密，如果杀毒，则会造成这些文件损坏。

8、双进程守护，每隔0.2秒检查一下自己是否存在，如不存在则重新启动。

9、修改注册表，使得用户无法进入安全模式，无法显示隐藏的系统文件。

10、检查注册表，如果系统不允许U盘自动运行，则修改之，使U盘中的病毒可以自动运行。

解决方案

磁碟机病毒和终结者、机器狗的表现很类似，技术上讲磁碟机的抗杀能力更强。多种杀毒软件无法拦截磁碟机的最新变种，在中毒之后，安装杀毒软件失败的可能性很大。在某些没有任何防御措施的电脑上，可能磁碟机专杀工具一运行就会被删除。据调查，这种情况是多种病毒混合入侵导致。在这种极端情况下，我们可以尝试的杀毒方案有：

1.尝试启动系统到安全模式或带命令行的安全模式。

具体办法：重启前，从其它正常电脑COPY已经升级到最新的杀毒软件，简单地把整个安装目录COPY过来。安全模式下运行kav32.exe，或者在命令行下运行kavdx。如果这个病毒不是很BT的话，有希望搞定。

2.WINPE急救光盘引导后杀毒。

WINPE启动后，运行kav32.exe或kavdx

3.挂从盘杀毒。

必须注意，在挂从盘杀毒前，正常的电脑务必使用金山清理专家的U盘免疫功能，将所有磁盘的自动运行功能关闭，避免使用双击的方式访问带毒硬盘，禁用自动运行能大大减少中毒的风险

4.重装系统。

装完切记，不要用双击打开其它磁盘或插入可能有毒的U盘，先上网下载金山毒霸，升级到最新，使用清理专家的U盘免疫器，禁用所有磁盘的自动运行。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-25077-2.html