新毒王"磁碟机"专攻杀毒软件 杀软溃败

    一种名为“磁碟机”的计算机病毒正在大面积暴发。这一病毒通过网站、Ｕ盘、局域网等传播，集成了最流行的病毒技术手段，其破坏能力、自我保护和反杀毒软件能力均强于“熊猫烧香”病毒，正逐渐发展为感染量大、破坏性强、清除难度高的新毒王。

　　据反病毒专家刘旭介绍，“磁碟机”病毒利用释放并加载的驱动程序攻击杀毒软件，破坏杀毒软件的自保护机制，使得杀毒软件的监控失效，从而让用户电脑失去防护。与老毒王“熊猫烧香”病毒相比，“磁碟机”病毒更新速度更快，平均一两天就变种一次，从而能够逃避传统杀毒软件的查杀。

　　“磁碟机”病毒还能够自动升级，它一旦在用户计算机内成功运行，就会自动接入光纤连接的升级服务器，下载病毒的最新版本和20多种木马病毒，盗取用户虚拟资产和其他机密信息。

　　刘旭认为，能否应对“磁碟机”类的计算机病毒，也成为区分真假主动防御技术杀毒软件的一个“分水岭”。在此之前，许多自称拥有了主动防御技术的杀毒软件公司为了对付“磁碟机”病毒，采取的应对办法只是纷纷开发“磁碟机”病毒专杀工具。

　　但这种专杀工具治标不治本，它只是在“磁碟机”病毒已经感染并造成破坏后采取的一种补救措施。由于“磁碟机”病毒还在不停的变种，与杀毒软件一样，专杀工具无法查杀最新版的“磁碟机”病毒。而采用独有的主动防御技术的微点主动防御软件，不依赖于病毒的特征值，能够有效防御“磁碟机”病毒的所有变种，成为目前防御“磁碟机”病毒的最有效工具。

“磁碟机”（又名“千足虫”），病毒感染系统可执行文件，能够利用多种手段终止杀毒软件运行，并可导致被感染计算机系统出现蓝屏、死机等现象，严重危害被感染计算机的系统和数据安全。与其它关闭杀毒软件的病毒不同的是，该病毒利用了多达六种强制关闭杀毒软件和干扰用户查杀的反攻手段，许多自身保护能力不够强壮的杀毒软件在病毒面前纷纷被折。

　　病毒在每个磁盘下生成pagefile.exe和Autorun.inf文件，并每隔几秒检测文件是否存在，修改注册表键值，破坏“显示系统文件”功能。

　　每隔一段时间会检测自己破坏过的显示文件、安全模式、Ifeo、病毒文件等项，如被修改则重新破坏。病毒执行后，会删除病毒主体文件。

　　病毒会监控lsass.exe、smss.exe、dnsq.dll文件，如果假设不存在的话则重新生成。当拷贝失败后，病毒会调用rd /s /q命令删除原来的文件，再重新写入。病毒会连接恶意网址下载大量木马病毒。

　　该病毒运行后会在系统目录中COM目录（默认为c:\windows\system32\com）下生成名为lsass.exe及smss.exe文件。该病毒会感染除windows及program files目录下所有的EXE格式可执行文件，会造成用户计算机运算速度缓慢，甚至造成系统蓝屏、死机。由于该病毒编写存在一些问题，可能会造成用户安装的软件被损坏，无法使用。

此病毒变种繁多，并且在不断更新升级，可以绕过主动防御、Hips、Byshell技术、监控文件和窗口、破坏组策略/IFEO、U盘感染、进程守护、关绝大部分杀毒软件和屏蔽常见安全工具、感染非系统分区下EXE等文件（（包括rar中的exe文件））、关闭自动更新破坏安全模式、删除显示受保护的隐藏系统文件选项、开启驱动器自动播放 autorun、浏览器弹出广告、使用ARP欺骗，坏事做绝，普通用户难以处理。