【磁碟机病毒简介】
磁碟机病毒又名dummycom病毒,是近一个月来传播最迅速,变种最快,破坏力最强的病毒。据360安全中心统计每日感染磁碟机病毒人数已逾100,1000用户!“磁碟机”现已经出现100余个变种,目前病毒感染和传播范围正在呈现蔓延之势。病毒造成的危害及损失10倍于“熊猫烧香”。
这个病毒主要通过U盘和局域网ARP攻击传播,如果当你无法访问各个安全软件站点,或者从安全站点的官网上下载的安装程序有问题的话,极有可能是已经中了磁碟机病毒
“磁碟机”(又名“千足虫”),病毒感染系统可执行文件,能够利用多种手段终止杀毒软件运行,并可导致被感染计算机系统出现蓝屏、死机等现象,严重危害被感染计算机的系统和数据安全。与其它关闭杀毒软件的病毒不同的是,该病毒利用了多达六种强制关闭杀毒软件和干扰用户查杀的反攻手段,许多自身保护能力不够强壮的杀毒软件在病毒面前纷纷被折。
病毒在每个磁盘下生成pagefile.exe和Autorun.inf文件,并每隔几秒检测文件是否存在,修改注册表键值,破坏“显示系统文件”功能。
每隔一段时间会检测自己破坏过的显示文件、安全模式、Ifeo、病毒文件等项,如被修改则重新破坏。病毒执行后,会删除病毒主体文件。
病毒会监控lsass.exe、smss.exe、dnsq.dll文件,如果假设不存在的话则重新生成。当拷贝失败后,病毒会调用rd /s /q命令删除原来的文件,再重新写入。病毒会连接恶意网址下载大量木马病毒。
该病毒运行后会在系统目录中COM目录(默认为c:\windows\system32\com)下生成名为lsass.exe及smss.exe文件。该病毒会感染除windows及program files目录下所有的EXE格式可执行文件,会造成用户计算机运算速度缓慢,甚至造成系统蓝屏、死机。由于该病毒编写存在一些问题,可能会造成用户安装的软件被损坏,无法使用。
[编辑本段]【磁碟机病毒特征】
磁碟机病毒是一个下载者病毒,会关闭一些安全工具和杀毒软件并阻止其运行运行,并会不断检测窗口来关闭一些杀毒软件及安全辅助工具,破坏安全模式,删除一些杀毒软件和实时监控的服务,远程注入到其它进程来启动被结束进程的病毒。
[编辑本段]【磁碟机病毒危害】
(1)修改系统默认加载的DLL 列表项来实现DLL 注入。通过远程进程注入,并根据以下关键字关闭杀毒软件和病毒诊断等工具。
(2)修改注册表破坏文件夹选项的隐藏属性修改,使隐藏的文件无法被显示。
(3)自动下载最新版本和其它的一些病毒木马到本地运行。
(4)不断删除注册表的关键键值来来破坏安全模式和杀毒软件和主动防御的服务, 使很多主动防御软件和实时监控无法再被开启。
(5)病毒并不主动添加启动项,而是通过重启重命名方式。这种方式自启动极为隐蔽,现有的安全工具很难检测出来。
(6)病毒会感染除SYSTEM32 目录外其它目录下的所有可执行文件,并且会感染压缩包内的文件。
[编辑本段]【主要症状】
1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象;
2、进程中出现两个lsass.exe和两个smss.exe ,且病毒进程的用户名是当前登陆用户名;(如果只有1个lsass.exe和1个smss.exe,且对应用户名为system,则是系统正常文件,请不用担心)
3、杀毒软件被破坏,多种安全软件无法打开,安全站点无法访问;
4、系统时间被篡改,无法进入安全模式,隐藏文件无法显示;
5、病毒感染.exe文件导致其图标发生变化;
6、会对局域网发起ARP攻击,并篡改下载链接为病毒链接;
7、弹出钓鱼网站
[编辑本段]【主要传播渠道】
1、U盘/移动硬盘/数码存储卡
2、局域网ARP攻击
3、感染文件
4、恶意网站下载
5、其它木马下载器下载
如何免疫磁碟机病毒:
[编辑本段]【免疫方法】
1、使用360安全卫士“清理恶评插件”功能先进行检测,在弹出的免疫提示框中选择确定
2、下载360磁碟机病毒专杀工具,选择“开启免疫”
[编辑本段]【免疫原理】
1、通过host表屏蔽磁碟机病毒升级及下载站点
2、通过免疫文件保护防止磁碟机病毒文件创建
[编辑本段]【评论】
江民反病毒工程师经提取病毒样本分析后认为,多数企业都是因为遭受了同一病毒“千足虫”(又名磁碟机)病毒侵害。统计显示,目前“磁碟机”病毒及其变种已感染超过5万台电脑,被感染的电脑分布在政府、企事业等。
反毒专家何公道认为,“磁碟机”病毒是近几年以来发现的病毒技术含量最高、破坏性最强的病毒,其破坏能力、自我保护和反杀毒软件能力均10倍于“熊猫烧香”,所以建议引起反病毒同行以及各大企事业单位网管员的高度重视。
总结:
其实,磁碟机现在并没有什么可怕的。假如使用受限制用户运行的话,磁碟机对您的破坏相当的有限。
ps:本文属转载,转载于百度百科.
