專家談：全面認識磁碟機病毒的前世今生

磁碟機病毒疫情的發生

磁碟機病毒最早出現在去年2月份，是在Windows系統目錄下生成lsass.exe及smss.exe文件，並且修改系統時間為1980年，當時這個病毒不是以下載器為目的的，自身也有較多BUG，入侵後，容易引起系統藍屏死機。以後的變種逐步吸收了AV終結者和機器狗的特性，對抗安全軟體的能力逐步增強。

磁碟機病毒分析

磁碟機病毒至今已有多個變種，該病毒感染系統之後，會像螞蟻搬家一樣將更多木馬下載到本地運行，以盜號木馬為主。同時，磁碟機病毒還會下載其它木馬下載器，比如AV終結者，中毒後的典型表現是眾多病毒木馬混合感染，其中下載的ARP病毒會對局域網產生嚴重影響。

對於普通電腦用戶來說，磁碟機病毒入侵後，除了安全軟體不可用之外，系統的其它功能基本正常。因此，普通用戶發現中毒 是在盜號事件發生之後，一般用戶不像我們這樣關注安全軟體和系統管理工具是不是能夠運行。並且，在這種情況下，用戶基本無法正常使用殺毒軟體完成病毒清 除，甚至想重新安裝另一個殺毒軟體也變得不可能。

典型磁碟機破壞的表現

1.註冊全局HOOK，掃瞄含有常用安全軟體關鍵字的程序窗口，發送大量消息，致使安全軟體崩潰

2.破壞文件夾選項，使用戶不能查看隱藏文件

3.刪除註冊表中關於安全模式的值，防止啟動到安全模式

4.創建驅動，保護自身。該驅動可實現開機刪除自身，關機創建延遲重啟的項目實現自動加載。

5.修改註冊表，令組策略中的軟體限制策略不可用。

6.不停掃瞄並刪除安全軟體的註冊鍵值，防止安全軟體開機啟動。

7.在各硬碟創建autorun.inf和pagefile.pif，利用雙擊硬碟或插入移動設備時自動運行功能傳播。

8.將註冊表的整個 RUN 項及其子鍵全部刪除，阻止安全軟體自動加載

9.釋放多個病毒執行程序，完成更多任務

10.病毒通過重啟重命名方式加載，位於註冊表HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/BackupRestore/KeysNotToRestore下的Pending RenameOperations字串。

11.感染除system32目錄外的其它EXE文件（病毒感染行為不斷進化，從感染其它分區到感染系統分區），最特別的是病毒還會解包RAR文件，感染其中的EXE之後，再打包成RAR。

12.下載大量木馬到本地運行，用戶最終受損情況，決定於這些木馬的行為。

磁碟機病毒傳播途徑

1.USB隨身碟/移動硬碟/數碼儲存卡傳播

2.各種木馬下載器之間相互傳播

3.通過惡意網站下載

4.通過感染文件傳播

5.通過內網ARP攻擊傳播

磁碟機病毒解決方案

磁碟機病毒和AV終結者、機器狗的表現很類似，技術上講磁碟機的抗殺能力更強。從我們瞭解到的情況看，多種殺毒軟體無法攔截磁碟機的最新變種，在中毒之後，安裝殺毒軟體失敗的可能性很大。因此，目前的方案是優先使用磁碟機專殺工具。

在某些沒有任何防禦措施的電腦上，可能磁碟機專殺工具一運行就會被刪除。據調查，這種情況是多種病毒混合入侵導致。在這種極端情況下，我們可以嘗試的殺毒方案有：

1.嘗試啟動系統到安全模式或帶命令行的安全模式（很可能會失敗）

具體辦法：重啟前，從其它正常電腦COPY已經升級到最新的殺毒軟體，簡單地把整個安裝目錄COPY過來。安全模式下運行殺毒軟體，或者在命令行下運行殺毒軟體。如果這個病毒不是很變態的話，有希望搞定。

2.WINPE急救光盤引導後殺毒（Winpe不易得到，不是所有人都有，需要的可以搜索一下到網上找。）

WINPE啟動後，運行殺毒軟體。

3.掛從盤殺毒（有多台電腦的情況下，比較容易使用）

必須注意，在掛從盤殺毒前，正常的電腦務必將所有硬碟的自動運行功能關閉，避免使用雙擊的方式訪問帶毒硬碟，禁用自動運行能大大減少中毒的風險。

4.你遇到了極端的情況，前三個條件都不具備，手工殺毒又不會，那只有一招，把C盤格了重裝吧，裝完切記，不要用雙擊打開其它硬碟或插入可能有毒的USB隨身碟，先安裝正版殺毒軟體，升級到最新，禁用所有硬碟的自動運行。

對於更瞭解系統的朋友來說，有手工方法來解決這些病毒，貌似有點難度，供大家參考，希望各位朋友都學會，這樣我們就不必這樣忙了。

(