2008-03-24 13:35:30 中华网科技

    磁碟机病毒疫情的发生
    
    磁碟机病毒最早出现在去年2月份，当时该病毒只是在windows系统目录下生成lsass.exe及smss.exe文件，并且修改系统时间为1980年，当时这个病毒并非以下载器为目的，自身也有较多BUG，入侵后，容易引起系统蓝屏死机。以后的变种逐步吸收了AV终结者和机器狗的特性，对抗安全软件的能力逐步增强。
    
    磁碟机病毒分析
    
    磁碟机病毒至今已有上百个变种，据金山毒霸全球反病毒监测中心表示，该病毒感染系统之后，会象“蚂蚁搬家”一样将更多木马下载到本地运行，以盗号木马为主。同时，磁碟机病毒还会下载其它木马下载器，比如AV终结者，中毒后的典型表现是众多病毒木马混合感染，其中下载的ARP病毒会对局域网产生严重影响。
    
    对于普通电脑用户来说，磁碟机病毒入侵后，除了安全软件不可用之外，系统的其它功能基本正常。因此，普通用户发现中毒是在盗号事件发生之后，一般用户并不是经常关注安全软件和系统管理工具是不是能够运行。并且，在这种情况下，用户基本无法正常使用杀毒软件完成病毒清除，甚至想重新安装另一个杀毒软件也变得不可能。
    
    典型磁碟机破坏的表现
    
    1.注册全局HOOK，扫描含有常用安全软件关键字的程序窗口，发送大量消息，致使安全软件崩溃
    2.破坏文件夹选项，使用户不能查看隐藏文件
    3.删除注册表中关于安全模式的值，防止启动到安全模式
    4.创建驱动，保护自身。该驱动可实现开机删除自身，关机创建延迟重启的项目实现自动加载
    5.修改注册表，令组策略中的软件限制策略不可用
    6.不停扫描并删除安全软件的注册键值，防止安全软件开机启动
    7.在各磁盘创建autorun.inf和pagefile.pif，利用双击磁盘或插入移动设备时自动运行功能传播
    8.将注册表的整个 RUN 项及其子键全部删除，阻止安全软件自动加载
    9.释放多个病毒执行程序，完成更多任务
    10.病毒通过重启重命名方式加载，位于注册表HKEY_LOCAL_MACHINESYSTEMControlSet001ControlBackupRestoreKeysNotToRestore下的Pending RenameOperations字串
    11.感染除system32目录外的其它EXE文件（病毒感染行为不断进化，从感染其它分区到感染系统分区），最特别的是病毒还会解包RAR文件，感染其中的EXE之后，再打包成RAR
    12.下载大量木马到本地运行，用户最终受损情况，决定于这些木马的行为。
    
    磁碟机病毒传播途径
    1.U盘/移动硬盘/数码存储卡传播
    2.各种木马下载器之间相互传播
    3.通过恶意网站下载
    4.通过感染文件传播
    5.通过内网ARP攻击传播
    
    磁碟机解决方案
    
    磁碟机病毒和AV终结者、机器狗的表现很类似，技术上讲磁碟机的抗杀能力更强。从我们了解到的情况看，多种杀毒软件无法拦截磁碟机的最新变种，在中毒之后，安装杀毒软件失败的可能性很大。因此，目前的方案是优先使用磁碟机专杀工具。有关专杀工具的使用、下载和升级说明，请参考：http://bbs.duba.net/thread-21892665-1-1.html
    
    在某些没有任何防御措施的电脑上，可能磁碟机专杀工具一运行就会被删除。据调查，这种情况是多种病毒混合入侵导致。在这种极端情况下，我们可以尝试的杀毒方案有：
    
    1.尝试启动系统到安全模式或带命令行的安全模式（很可能会失败）
    具体办法：重启前，从其它正常电脑COPY已经升级到最新的杀毒软件，简单地把整个安装目录COPY过来。安全模式下运行kav32.exe，或者在命令行下运行kavdx。如果这个病毒不是很BT的话，有希望搞定。
    
    2.WINPE急救光盘引导后杀毒（Winpe不易得到，不是所有人都有，需要的可以搜索一下到网上找。）WINPE启动后，运行kav32.exe或kavdx

3.挂从盘杀毒（有多台电脑的情况下，比较容易使用）
    必须注意，在挂从盘杀毒前，正常的电脑务必将所有磁盘的自动运行功能关闭，避免使用双击的方式访问带毒硬盘，禁用自动运行能大大减少中毒的风险。
    
    4.你遇到了极端的情况，前三个条件都不具备，手工杀毒又不会，那只有一招，把C盘格了重装吧，装完切记，不要用双击打开其它磁盘或插入可能有毒的U盘，先禁用所有磁盘的自动运行。
    
    对于更了解系统的朋友来说，有手工方法来解决这些病毒，貌似有点难度，供大家参考，希望各位朋友都学会，这样我们就不必这样忙了。
    
    磁碟机防御措施
    
    招数一：及时更新杀毒软件，以拦截最新变种。
    不能升级的杀毒软件和不装是一样的，在猪肉涨软件跌的情况下，支持正版软件还是值得的。和“磁碟机”类似的几个病毒都会找杀毒软件下手，注意观察杀毒软件的工作状态，可以充当“磁碟机”之类病毒破坏系统的晴雨表。
    
    招数二：及时修补操作系统漏洞、浏览器漏洞和应用软件漏洞。
    windows update、清理专家都是打补丁好手。播放器、下载工具，最好用官方的最新版，至少老漏洞都修补过。
    
    招数三：网络防火墙、ARP防火墙一个也不能少。
    网络防火墙和ARP防火墙对“磁碟机”在局域网的泛滥可以起到遏制作用。
    单独发行版本的ARP防火墙，07年12月18日更新，局域网共享上网（包括长宽）必备。
    下载地址：www.duba.net/kas/KAntiarp.exe>http://kad.www.duba.net/kas/KAntiarp.exe
    
    招数四：保持足够警惕，小心接收和打开不明程序，不要被文件的图标所蒙蔽。
    控制面板中修改文件夹选项，显示所有文件的扩展名，发现EXE/PIF/COM/SCR等类型一定要倍加小心。甭管对方如何解释这个东东是什么，自己先看清楚，确认是文档才能认为是相对安全的。
    
    如果你的资源管理器工具菜单下文件夹选项不见了，或者打开后，修改选项失效，通常也是中毒的标志。
    可以下载这个附件，将正常winxp系统的注册表脚本文件导入reg文件（winxp平台测试通过），系统正常的，不必下载。
    下载地址：http://bbs.duba.net/attachment.php?aid=16102282
    
    招数五：常备一套工具箱。
    清理专家、procexp、autoruns、冰刃、Sreng，AV终结者专杀，磁碟机专杀。需要时，这些小工具可令系统起死回生。
    
    招数六：强烈建议禁用自动运行功能，这个鸡肋功能对病毒传播制造了太多机会，自动运行提供的方便性几乎没有价值。
    
    招数七：及时反应，减轻损失。
    一旦感染该病毒，应该及时停止登录在线游戏，请求游戏运营商先将帐号冻结，避免遭受损失。就好比你的银行卡丢掉，你的第一反应是给银行打电话，请求冻结帐号。