磁碟机，毒王新一代|十大毒王

　　最近，一种名为“磁碟机”病毒大面积暴发，其“作案”手段复杂，更新速度快，隐蔽性大，反查杀能力强。反病毒专家介绍，新一代毒王“磁碟机”的“毒性”已远远大于臭名昭著的“熊猫烧香”病毒。
　　反病毒公司介绍，“磁碟机”病毒利用释放并加载的驱动程序攻击杀毒软件，破坏杀毒软件的自保护机制，使杀毒软件监控失效，让用户电脑失去防护。“磁碟机”通过网站、U盘、局域网等传播，集成了最流行的病毒技术手段，正逐渐发展为目前感染量大、破坏性强、清除难度高的新“毒王”。与“熊猫烧香”病毒一样，“磁碟机”病毒更新速度快，平均一两天变种一次，从而能够逃避杀毒软件的特征值查杀。“磁碟机”还能够自动升级，“磁碟机”病毒一旦在用户电脑成功运行后，会自动接入光纤连接升级服务器，下载病毒最新版本和超过20种木马病毒到本地运行，盗取用户虚拟资产和其他机密信息，同时该病毒会感染用户机器上的exe文件，包括压缩包内的exe文件，导致用户很难彻底清除。
　　为应对“磁碟机”病毒，杀毒软件公司纷纷开发出“磁碟机”病毒专杀工具。但是，这种专杀工具治标不治本，它只是在“磁碟机”病毒已经感染并造成破坏后，所采取的补救措施。由于“磁碟机”病毒还在不停变种，与杀毒软件一样，专杀工具也无法查杀最新版的“磁碟机”病毒。
　　微点反病毒专家介绍，微点主动防御软件采取独有的主动防御技术，不依赖于病毒的特征值，就可能够有效防御“磁碟机”病毒的所有变种，是目前国际上防御“磁碟机”病毒最有效的工具。微点公司为用户提供免费的微点主动防御软件90天试用版，用户可以从省略网站下载使用。
　　
　　延伸阅读
　　
　　磁碟机档案
　　中文名：磁碟机
　　英文名：Virus.Win32.Xorer.aex
　　体貌特征：该程序是使用VC编写的病毒程序，采用UPX加壳方式试图躲避特征码扫描，加壳后长度为94,208字节，图标为Windows默认可执行文件图标，病毒扩展名为exe，主要通过网页木马、文件感染、移动存储介质方式传播。
　　
　　磁碟机犯罪实录
　　实录现场：Windows 2000/Windows XP/Windows 2003
　　流窜地点：网页木马、文件感染、移动存储介质
　　
　　实录一：
　　
　　1.强杀N多安全软件
　　磁碟机病毒运行后，会强行关闭包含如下名称的程序窗口，同时试图用大量垃圾消息淹掉窗口进程使其无法处理消息而自行退出；利用互斥体技术防止同时运行多个病毒。
　　2.恶意破坏注册表
　　修改注册表键值隐藏病毒文件，强行开启Windows自动播放功能，强行破坏安全模式，断绝了用户通过安全模式修复系统的希望。
　　3.病毒感染双保险
　　检测系统当前的用户名，确保%systemroot%\system32\com目录下可以写入文件，同时清空该目录下的旧病毒和磁碟机免疫文件，以保证病毒感染万无一失。
　　4.强行突破杀毒软件
　　释放隐藏的病毒暴力驱动C:\NetApi000.sys，保护病毒进程无法被任务管理器结束，重置系统分发表将所有系统服务重置，从而使多种病毒监控程序失效。
　　5.再伸魔手通杀杀软
　　将系统中包含有如下字符的进程关闭：Kmailmon、Guard、Scan、Kissvc、Watch、Kv、Twister、Avp、rav。
　　试图强行删除下列安全软件服务：MPSVCService、AntiVirService、AVP、KWatchSvc、Ekrn、SymEvent、PAVSRV、Tmmbd、McShield、RsRavMon、EQService、KSysMon。
　　6.强行关机防不胜防
　　将病毒埋伏到到%ALLUSERSPROFILE%\「开始」菜单\程序\启动目录下，重命名为~.exe.*******.exe，强制关机重启，令人防不胜防。
　　
　　实录二：磁碟机诡秘的启动机制
　　
　　重启后，~.exe.*******.exe运行，创建互斥体，防止系统中有多个病毒进程运行；删除注册表自启动项以使系统中安全软件无法随系统自动启动；将自身复制到%systemroot%\system32\com目录下，重命名为lsass.exe，运行lsass.exe后删除自身；当系统注销时再次将lsass.exe的拷贝复制到启动目录下，实现病毒下次的开机自启动。
　　
　　实录三：
　　
　　%systemroot%\system32\com\lsass.exe运行后，创建名互斥体，防止系统中有多个病毒进程运行；检测文件夹下是否存在免疫文件，如果存在执行“卷宗一”中第三大恶行――3.病毒感染双保险，确保病毒感染万无一失，即在com目录下释放文件netcfg.000、netcfg.dll与smss.exe；在%systemroot%\system32目录下释放动态库dnsq.dll，将dnsq.dll注册成特殊的启动方式，当运行新程序时便会自动加载，安装全局钩子，以独占方式打开boot.ini与host文件，使得其它线程无法操作这两个文件；
　　重复执行“卷宗一”中相关恶行。
　　
　　实录四：
　　
　　1. 霸王病毒
　　清除所有硬盘分区和U盘上的autorun病毒脚本，在每个分区下生成病毒文件pagefile.pif和磁碟机的脚本autorun.inf，确保磁碟机完全占领U盘和硬盘分区。将smss.exe作为模块启动病毒~.exe，实现病毒进程相互守护。
　　2. 恶毒，连压缩文件也不放过
　　磁碟机病毒会感染系统分区里的exe；rar、zip；js等类型文件。
　　Exe文件先制作病毒体，然后覆盖感染；压缩文件zip和rar，解压后感染，感染后再打包压缩。
　　
　　实录五：
　　
　　磁碟机会强行弹出如下两个广告网页：h**p://d.省略 /html/qb2.html，h**p:// f.省略 /html/dg2.html。
　　
　　安全提示
　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理(如图1)。
　　
　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Virus.Win32.Xorer.aex”，请直接选择删除（如图2）。
　　
　　
　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：
　　
　　1. 不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
　　2. 建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
　　3. 尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。