简述"磁碟机病毒_计算机病毒的主要特点_计算机病毒的特点

磁碟机”病毒感染数十万台电脑

3月21日，瑞星公司针对“磁碟机病毒感染数十万台电脑”发布红色（一级）安全警报。专家表示，该病毒的查杀难度超过“熊猫烧香”，截至3月20日，被“磁碟机”感染的电脑已达数十万台。简述"磁碟机病毒

据悉，该病毒会试图关闭各种杀毒软件，并自动下载几十种盗号木马病毒，给网民带来极大的损失。中毒后，用户计算机杀毒软件被关闭，屏幕右下方的监控状态图标改变，中毒计算机无法进入安全模式，进入安全模式时会蓝屏，系统文件被强行设置为隐藏状态。

根据监测和技术分析，“磁碟机”病毒是一个具有明确经济目的的病毒所为，他们借鉴了已经被逮捕的“熊猫烧香”病毒团伙的经验，非常狡猾，在病毒制造、传播和躲避侦查等方面都下足了功夫。简述"磁碟机病毒瑞星公司已将掌握的相关资料上报给部门。

针对目前严峻的安全形势，瑞星公司宣布，将向所有受害网民派发瑞星杀毒软件2008版，用户可以登陆瑞星官方网站（)下载，并一个月。

五招分辨磁碟机病毒：

1、某些杀毒软件和安全软件无法运行，被强行关闭，或者打开后有被“分尸”的现象

工具软件Sreng被病毒破坏后

2、安全模式被破坏。用户试图进入安全模式时，显示的是蓝屏，这是由于病毒删除了与安全模式相关的注册表键导致。

3、无常显示隐藏文件，且工具－文件夹选项下的“隐藏受保护的操作系统文件”一项被破坏。

4、打开任务管理器，会发现两个lsass.exe和smss.exe进程

5、使用Winrar可以发现如下病毒文件。

%systemroot%\system32\com\lsass.exe

%systemroot%\system32\com\smss.exe

%systemroot%\system32\com\netcfg.dll

%systemroot%\system32\com\netcfg.000

6.运行msconfig之后启动项中出现很多的类似:~.exe.3455566 的启动项

“磁碟机”病毒技术分析概要

该病毒使用了rootkits技术，可以从系统底层卸载杀毒软件的钩子，同时会释放自己的驱动，这样就会使杀毒软件的监控失效，无法查杀病毒。同时，病毒还会频繁查找杀毒软件的程序窗口，强行将其关闭。那些没有使用智能主动防御技术的杀毒软件，很容易被此病毒破坏无法运行。

病毒运行后，会在C盘根目录下释放病毒驱动NetApi000.sys，该驱动用来恢复SSDT，把杀毒软件挂的钩子全部卸掉。这样，杀毒软件的很将无法使用，如文件监控、注册表监控等。同时，病毒会在系统里释放smss.exe等病毒文件，实现进程保护，使杀毒软件很难彻底查杀。

除了关闭杀毒软件之外，磁碟机病毒还会从**.c0mo.com、**.k0102.com等网站下载数十个木马盗号病毒，试图窃取用户的网游账号装备、网银密码等私密信息

处理办法:

在使用专杀工具之后,瑞星可以杀毒了,将会把C:盘根目录下释放病毒驱动NetApi000.sys及D:\pagefile.pif,及其他盘的pagefile.pif,全部删除,然后监控无法启动,需要重新安装瑞星程序,(或者在开始--瑞星杀毒软件---i添加删除组件--修复),重启之后瑞星的监控小雨伞就打开了,再升级到最新即可了.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-32838-1.html