關(guān)于全面認(rèn)識(shí)磁碟機(jī)病毒的前世今生

　　磁碟機(jī)病毒疫情的發(fā)生

　　磁碟機(jī)病毒最早出現(xiàn)在去年2月份，是在Windows系統(tǒng)目錄下生成lsass.exe及smss.exe文件，并且修改系統(tǒng)時(shí)間為1980年，當(dāng)時(shí)這個(gè)病毒不是以下載器為目的的，自身也有較多BUG，入侵后，容易引起系統(tǒng)藍(lán)屏死機(jī)。以后的變種逐步吸收了AV終結(jié)者和機(jī)器狗的特性，對(duì)抗安全軟件的能力逐步增強(qiáng)。

　　磁碟機(jī)病毒分析

　　磁碟機(jī)病毒至今已有多個(gè)變種，該病毒感染系統(tǒng)之后，會(huì)象螞蟻搬家一樣將更多木馬下載到本地運(yùn)行，以盜號(hào)木馬為主。同時(shí)，磁碟機(jī)病毒還會(huì)下載其它木馬下載器，比如AV終結(jié)者，中毒后的典型表現(xiàn)是眾多病毒木馬混合感染，其中下載的ARP病毒會(huì)對(duì)局域網(wǎng)產(chǎn)生嚴(yán)重影響。

　　對(duì)于普通電腦用戶來(lái)說(shuō)，磁碟機(jī)病毒入侵后，除了安全軟件不可用之外，系統(tǒng)的其它功能基本正常。因此，普通用戶發(fā)現(xiàn)中毒 是在盜號(hào)事件發(fā)生之后，一般用戶不象我們這樣關(guān)注安全軟件和系統(tǒng)管理工具是不是能夠運(yùn)行。并且，在這種情況下，用戶基本無(wú)法正常使用殺毒軟件完成病毒清 除，甚至想重新安裝另一個(gè)殺毒軟件也變得不可能。

　　典型磁碟機(jī)破壞的表現(xiàn)

　　注冊(cè)全局HOOK，掃描含有常用安全軟件關(guān)鍵字的程序窗口，發(fā)送大量消息，致使安全軟件崩潰

　　破壞文件夾選項(xiàng)，使用戶不能查看隱藏文件

　　刪除注冊(cè)表中關(guān)于安全模式的值，防止啟動(dòng)到安全模式

　　創(chuàng)建驅(qū)動(dòng)，保護(hù)自身。該驅(qū)動(dòng)可實(shí)現(xiàn)開機(jī)刪除自身，關(guān)機(jī)創(chuàng)建延遲重啟的項(xiàng)目實(shí)現(xiàn)自動(dòng)加載。

　　修改注冊(cè)表，令組策略中的軟件限制策略不可用。

　　不停掃描并刪除安全軟件的注冊(cè)鍵值，防止安全軟件開機(jī)啟動(dòng)。

　　在各磁盤創(chuàng)建autorun.inf和pagefile.pif，利用雙擊磁盤或插入移動(dòng)設(shè)備時(shí)自動(dòng)運(yùn)行功能傳播。

　　將注冊(cè)表的整個(gè) RUN 項(xiàng)及其子鍵全部刪除，阻止安全軟件自動(dòng)加載

　　釋放多個(gè)病毒執(zhí)行程序，完成更多任務(wù)

　　病毒通過(guò)重啟重命名方式加載，位于注冊(cè)表HKEY_LOCAL_MACHINESYSTEMControlSet001ControlBackupRestoreKeysNotToRestore下的Pending RenameOperations字串。

　　感染除system32目錄外的其它EXE文件(病毒感染行為不斷進(jìn)化，從感染其它分區(qū)到感染系統(tǒng)分區(qū))，最特別的是病毒還會(huì)解包RAR文件，感染其中的EXE之后，再打包成RAR。

　　下載大量木馬到本地運(yùn)行，用戶最終受損情況，決定于這些木馬的行為。

　　磁碟機(jī)病毒傳播途徑

　　U盤/移動(dòng)硬盤/數(shù)碼存儲(chǔ)卡傳播

　　各種木馬下載器之間相互傳播

　　通過(guò)惡意網(wǎng)站下載

　　通過(guò)感染文件傳播

　　通過(guò)內(nèi)網(wǎng)ARP攻擊傳播

　　磁碟機(jī)病毒解決方案

　　磁碟機(jī)病毒和AV終結(jié)者、機(jī)器狗的表現(xiàn)很類似，技術(shù)上講磁碟機(jī)的抗殺能力更強(qiáng)。從我們了解到的情況看，多種殺毒軟件無(wú)法攔截磁碟機(jī)的最新變種，在中毒之后，安裝殺毒軟件失敗的可能性很大。因此，目前的方案是優(yōu)先使用磁碟機(jī)專殺工具。

　　在某些沒(méi)有任何防御措施的電腦上，可能磁碟機(jī)專殺工具一運(yùn)行就會(huì)被刪除。據(jù)調(diào)查，這種情況是多種病毒混合入侵導(dǎo)致。在這種極端情況下，我們可以嘗試的殺毒方案有：

　　1.嘗試啟動(dòng)系統(tǒng)到安全模式或帶命令行的安全模式(很可能會(huì)失敗)

　　具體辦法：重啟前，從其它正常電腦COPY已經(jīng)升級(jí)到最新的殺毒軟件，簡(jiǎn)單地把整個(gè)安裝目錄COPY過(guò)來(lái)。安全模式下運(yùn)行殺毒軟件，或者在命令行下運(yùn)行殺毒軟件。如果這個(gè)病毒不是很變態(tài)的話，有希望搞定。

　　WINPE急救光盤引導(dǎo)后殺毒(Winpe不易得到，不是所有人都有，需要的可以搜索一下到網(wǎng)上找。)

　　WINPE啟動(dòng)后，運(yùn)行殺毒軟件。

　　3.掛從盤殺毒(有多臺(tái)電腦的情況下，比較容易使用)

　　必須注意，在掛從盤殺毒前，正常的電腦務(wù)必將所有磁盤的自動(dòng)運(yùn)行功能關(guān)閉，避免使用雙擊的方式訪問(wèn)帶毒硬盤，禁用自動(dòng)運(yùn)行能大大減少中毒的風(fēng)險(xiǎn)。

　　你遇到了極端的情況，前三個(gè)條件都不具備，手工殺毒又不會(huì)，那只有一招，把C盤格了重裝吧，裝完切記，不要用雙擊打開其它磁盤或插入可能有毒的U盤，先安裝正版殺毒軟件，升級(jí)到最新，禁用所有磁盤的自動(dòng)運(yùn)行。

　　對(duì)于更了解系統(tǒng)的朋友來(lái)說(shuō)，有手工方法來(lái)解決這些病毒，貌似有點(diǎn)難度，供大家參考，希望各位朋友都學(xué)會(huì)，這樣我們就不必這樣忙了。

【全面認(rèn)識(shí)磁碟機(jī)病毒的前世今生】相關(guān)文章：

前世今生的仰望作文1500字10-28

全面清理電腦病毒的方法08-27

我的前世作文02-14

今生與書相伴作文10-24

今生你作伴歌詞10-18

病毒的命名規(guī)則08-10

計(jì)算機(jī)病毒定義及病毒特性有哪些08-08

《前前前世》歌詞羅馬音07-25

今生的摯愛(ài)作文900字10-29

惜別,我今生的榮耀詩(shī)歌10-30