磁碟机病毒_磁碟机源代码_磁碟机汇编(3)

防御措施

招数一：及时更新杀毒软件，以拦截最新变种。

不能升级的杀毒软件和不装是一样的，在猪肉涨软件跌的情况下，支持正版软件还是值得的。和“磁碟机”类似的几个病毒都会找杀毒软件下手，注意观察杀毒软件的工作状态，可以充当“磁碟机”之类病毒破坏系统的晴雨表。

招数二：及时修补操作系统漏洞、浏览器漏洞和应用软件漏洞。

windows update、清理专家都是打补丁好手。播放器、下载工具，最好用官方的最新版，至少老漏洞都修补过。

招数三：网络防火墙、ARP防火墙一个也不能少。

网络防火墙和ARP防火墙对“磁碟机”在局域网的泛滥可以起到遏制作用。

招数四：保持足够警惕，小心接收和打开不明程序，不要被文件的图标所蒙蔽。

控制面板中修改文件夹选项，显示所有文件的扩展名，发现EXE/PIF/COM/SCR等类型一定要倍加小心。甭管对方如何解释这个东东是什么，自己先看清楚，确认是文档才能认为是相对安全的。

如果你的资源管理器工具菜单下文件夹选项不见了，或者打开后，修改选项失效，通常也是中毒的标志。

招数五：常备一套工具箱。

清理专家、procexp、autoruns、冰刃、Sreng，终结者专杀，磁碟机专杀。需要时，这些小工具可令系统起死回生。磁碟机病毒

招数六：强烈建议禁用自动运行功能，这个鸡肋功能对病毒传播制造了太多机会，自动运行提供的方便性几乎没有价值。

禁止自动运行的方法，超简单，在清理专家的百宝箱，打开U盘免疫器，全部选中所有驱动器之后，点禁用。

招数七：及时反应，减轻损失。

一旦感染该病毒，应该及时停止登录游戏，请求游戏运营商先将帐号冻结，避免遭受损失。就好比你的银行卡丢掉，你的第一反应是给银行打电话，请求冻号。

判断电脑是否感染与“熊猫烧香”的对比

一、传播途径

二、杀毒软件能力

“熊猫烧香”和“磁碟机”病毒都有杀毒软件的能力，但不同的是，“熊猫烧香”只是通过发送关闭消息的方式关闭杀毒软件，而“磁碟机”则通过生成一个内核权限的驱动程序来破坏杀毒软件的监控，使杀毒软件的监控功能失效，然后再关闭杀毒软件并阻止杀毒软件升级，并屏蔽主流的杀毒软件网页。这一点上，“磁碟机”远远超过了“熊猫烧香”病毒，导致一些主动防御功能不强的杀毒软件纷纷被关闭，“磁碟机”能够关闭除江民杀毒软件kv2008最新版本之外的大部分主流杀毒软件，这也是为什么众多企业在遇到“磁碟机”病毒时，整个局域网内几乎无一台电脑幸免病毒之灾的原因。

三、自我保护和隐藏能力

“熊猫烧香”采用的是进程保护，病毒首先生成一个系统服务程序来保护其进程不被关闭，只要清除了病毒生成的系统服务，就可以轻松关闭其进程。而“磁碟机”在自我保护和隐藏技术上几乎无所不用其极，通过十余种技术来达到自我保护的目的。例如：利用进程守护技术，发现病毒文件被删除或被关闭，会马上生成重新运行。病毒程序以系统级权限运行，DLL组件会插入到系统中几乎所有的进程中加载运行(包括系统级权限的进程)。利用了关机回写技术，在关闭计算机时把病毒主程序体保存到[启动]文件夹中，实现开机自启动。系统启动后再将[启动]文件夹中病毒主体删除掉，实现既可隐蔽启动，又不被用户发现的目的。使用反HIPS技术绕过部分主动防御程序“HIPS”的监控。利用光纤接入的服务器高速升级病毒体，迅速更新避免杀毒软件查杀。

四、病毒变种和自我更新速度

“熊猫烧香”由于技术上较“磁碟机”简单，加上源代码可能外泄，因此病毒变种较多，而”磁碟机”由于病毒程序复杂，加上目前可以确定其源代码尚未泄露到互联网上，因此一周只出现两到三个变种，最多的时候达到了一天出现两个变种的速度，虽然相较于“熊猫烧香”在变种数量上稍逊一筹，但“磁碟机”的升级更新速度之快令人咋舌。江民反病毒专家怀疑“磁碟机”病毒使用了光纤接入的升级服务器，能够实现在下载量很大的情况下，病毒体也可以瞬间自动完成更新。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-25077-3.html