被骗网 » 电脑科技 » 电脑病毒“磁碟机”疫情紧急! 比”熊猫烧香”更厉害

贝片 发表于 2008-4-2 11:00

电脑病毒“磁碟机”疫情紧急! 比”熊猫烧香”更厉害

[b]　　磁碟机木马介绍：[/b]{9@ksu%L
A#[v~qp

U2V _`+S4@/m{ 　　“磁碟机”木马也叫dummycom，该程序运行后关闭并阻止360安全卫士和卡巴、瑞星、金山、江民等安全类软件的运行，除此之外还会删除系统中含有“360”字样的文件。感染后，进程中会多出smss.exe和lsass.exe进程，使用任务管理器结束后会造成计算机重启，并自动下载大量的木马到本地机器。L'E0uC&Pse+W

MQ,lL'Zg#y*?F 　　据分析，该木马使用的关闭安全软件的方法和以往不同，其通过发生一堆垃圾消息，导致安全程序的崩溃，连icesword（冰刃）也未能幸免。其在运行后，会在 system32的Com 目录下生成smss.exe,lsass.exe, netcfg.dll等文件并在system32下生成dsnq.dll文件，在关机瞬间会写一个文件到开始菜单的启动项中；B6thJBe`7ej [:Xn

2\Gq0b5rXB D+dZ 　　需要注意的是，该病毒使用极其恶毒的感染方式，感染除SYSTEM32 目录外其它目录下的所有可执行文件(*.exe)，导致文件被感染后无法使用且部分文件无法恢复。7o'u}jHA,O-qu

J-P-OWv [b]　　感染磁碟机木马后的症状：[/b]&CuEp*wY+V

.l1f8~SL*T%{-S 　　1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象；|.sKh;Y2f

Dq+J(YK0E+c(s5{4R 　　2、进程中出现两个lsass.exe和两个smss.exe，且病毒进程的用户名是当前登陆用户名；
4aO0EF a@ PT
`1H RN } `l 　　3、杀毒软件被破坏，无法正常开启，多种安全辅助工具无法正常开启；2E$fd&Wwt%?"n1cn"nI

d8e-v-c2Mi.Z&Ju7x 　　4、系统时间被篡改；
W3d.D"T-PBPk
'W
H5b5mz5p3E 　　5、病毒感染.exe文件导致其图标发生变化；
3W"`*T1m#z { /p.N G+z
IT'~8H\s
　　6、无法进入安全模式；
P'`(z%V8w/Kj@*wF E#U)?,Aw#hqD~8i}
　　7、隐藏文件无法显示；2r Vj~NF'VX
d{
@(E$o`2Ee!r?J
　　8、组策略被破坏。
$O9[F3o*Rk5q #}]uy b%U
[b]　　查杀磁碟机木马[/b]-|)g
]G us6r4gX1f4MC6M

A/@
n"{Z guG 　　1、用改名大法将system32和dllcache目录下的cmd.exe临时改名为cm.dll（图1），重启系统看看。VH0HUwXQ,ab
~3W0@!z
XafKwr
　　 [attach]1063[/attach]5e4B$]2]m'?d

JK-[]k$g6?%k"} [/`k;^2Fh9ln
　　2、重启系统后，检查system32和dllcache目录。发现改名后的cm.dll都在，但是，system32目录下出现了一个怪怪的cmd.exe（见下图）。这个cmd.exe的logo不同于正常的cmd.exe，该不会是病毒现从I386目录里找来的吧？汗！估计这DD不能运行。
)|e"v*Hj ;]Z\}D}
W
　　 [attach]1064[/attach]
b @Bl Qo s*lP[Q!U KA
[O_#m8`ox
　　3、不管这些，先看看病毒文件能否手工删除（如果那个cmd.exe管用，NetApi000.sys即可加载，病毒已经完整运行了。病毒文件是删不掉的）。
NU D]+Oa+_|-^w
0^3O8lCh} 　　结果：所有病毒文件被一一删除了。
2u2~Z9ywT$S~_7`7} j/A]y%H{
　　4、删除system32目录下那个异常的cmd.exe。将system32和dllcache目录下的cm.dll改回cmd.exe。注：我的电脑只有一个分区。处理到这里，就完事了。多分区系统，非系统分区还有病毒。这样处理完后并不能彻底解决问题，还需用杀软全盘杀毒。切记！
:UI^)] p7A"m AbA1U)i\'@9Z:t
（人民网 责任编辑：宋阳）

贝片 发表于 2008-4-2 11:00

[size=5][color=blue][b]磁碟机病毒可造成蓝屏和网游被盗[/b][/color][/size]
^1zK4Q&g O q*~;he2mrb
　　瑞星公司本周发布红色（一级）安全警报称：“磁碟机（Ｗｏｒｍ．Ｗｉｎ32．Ｄｉｓｋｇｅｎ）”病毒正在网上肆虐，其危险程度为四级（最高为五级）。"WJSUG\d$SGb9u/l

ne U p9n r 　　据悉，这一病毒会试图关闭各种杀毒软件，并自动下载几十种盗号木马病毒，给网民带来极大的损失。'tT9FL.D K-^5n

f,s*m3us
A$@CZ+u 　　因此，瑞星反病毒反木马一周播报（2008．03．31－04．06）将其列为本周关注病毒，警惕程度为★★★★。
_h,{@+]r
*T-BoM%uc XQ 　　“磁碟机”病毒运行后，会在Ｃ盘根目录下释放病毒驱动ＮｅｔＡｐｉ000．ｓｙｓ，该驱动用来恢复ＳＳＤＴ，把杀毒软件挂的钩子全部卸掉。然后在Ｓｙｓｔｅｍ32路径下的ｃｏｍ文件夹中释放病毒文件，实现进程保护，使杀毒软件很难彻底查杀。除了关闭杀毒软件之外，“磁碟机”病毒还会从ｈｔｔｐ：／／＊＊．ｃ0ｍｏ．ｃｏｍ、ｈｔｔｐ：／／＊＊．ｋ0102．ｃｏｍ等网站下载数十个木马盗号病毒，试图窃取用户的网游账号装备、网银密码等私密信息。
2cG/j"T0s px
E2G R2T
　　对此，专家建议用户：1、安装具有“智能主动防御技术”的杀毒软件并升级到最新版本，在系统底层拦截恶意程序行为，有效拦截磁碟机病毒及其最新变种。2、开启Ｗｉｎｄｏｗｓ安全中心、防火墙和自动更新，及时安装最新系统补丁，避免病毒通过系统漏洞入侵电脑。3、把网银、网游、ＱＱ等重要软件加入到“账号保险柜”中，防止被磁碟机病毒下载的木马病毒窃取。（新华网）

贝片 发表于 2008-4-2 11:05

江民“磁碟机”专杀和修复工具下载地址：
/l1cS8cX-T [url]http://dl.jiangmin.com/download/zhuansha.htm[/url]

查看完整版本: 电脑病毒“磁碟机”疫情紧急! 比”熊猫烧香”更厉害