近日,“磁碟机”病毒在互联网疯狂传播,至今已有超过5万余台电脑感染病毒,病毒造成的直接和间接损失十分巨大。反病毒专家对“磁碟机”病毒进行了详尽的 技术分析,令人感到吃惊的是,病毒竟然使用光纤接入的服务器来升级病毒体,即使在下载量巨大的情况下,病毒升级服务器都可以瞬间完成病毒的更新。
什么是“磁碟机”病毒?
磁碟机病毒又名dummycom病毒,是近一个月来传播最迅速,变种最快,破坏力最强的病毒。
感染该病毒后主要有如下症状:
1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象;
2、进程中出现两个lsass.exe和两个smss.exe,且病毒进程的用户名是当前登陆用户名;
3、杀毒软件被破坏,多种安全软件无法打开,安全站点无法访问;
4、系统时间被篡改,无法进入安全模式,隐藏文件无法显示;
5、病毒感染.exe文件导致其图标发生变化;
6、会对局域网发起ARP攻击,并篡改下载链接为病毒链接;
7、弹出钓鱼网站
磁碟机病毒的主要传播渠道是:
1、U盘/移动硬盘/数码存储卡
2、局域网ARP攻击
3、感染文件
4、恶意网站下载
查杀:全面查杀磁碟机病毒及最新变种、并且可以完美修复被感染后的文件
免疫:彻底免疫,防止磁碟机病毒入侵,可以免疫磁碟机病毒最新变种
免疫方法:
1、使用360安全卫士“清理恶评插件”功能先进行检测,在弹出的免疫提示框中选择确定
2、下载360磁碟机病毒专杀工具,选择“开启免疫”
免疫原理:
1、通过host表屏蔽磁碟机病毒升级及下载站点
2、通过免疫文件保护防止磁碟机病毒文件创建
360磁碟机病毒专杀工具下载地址
http://dl.360safe.com/killer_dummycom.exe
中毒后的症状
反病毒专家介绍,“磁碟机”病毒是典型的驱动病毒。病毒首先利用驱动程序使部分安全软件的监控失效,然后强行关闭目前几乎所有安全工具软件以及几乎所有的杀毒软件。
磁碟机病毒特征:
磁碟机病毒是一个下载者病毒,会关闭一些安全工具和杀毒软件并阻止其运行运行,并会不断检测窗口来关闭一些杀毒软件及安全辅助工具,破坏安全模式,删除一些杀毒软件和实时监控的服务,远程注入到其它进程来启动被结束进程的病毒。
磁碟机病毒危害:
(1)修改系统默认加载的DLL 列表项来实现DLL 注入。通过远程进程注入,并根据以下关键字关闭杀毒软件和病毒诊断等工具。
(2)修改注册表破坏文件夹选项的隐藏属性修改,使隐藏的文件无法被显示。
(3)自动下载最新版本和其它的一些病毒木马到本地运行。
(4)不断删除注册表的关键键值来来破坏安全模式和杀毒软件和主动防御的服务, 使很多主动防御软件和实时监控无法再被开启。
(5)病毒并不主动添加启动项,而是通过重启重命名方式。这种方式自启动极为隐蔽,现有的安全工具很难检测出来。
(6)病毒会感染除SYSTEM32 目录外其它目录下的所有可执行文件,并且会感染压缩包内的文件。
截止今日,根据现有的数据统计,“磁碟机”病毒及其变种已感染超过5万台电脑,被感染的电脑分布在政府、企事业等众多单位和部门,同时也有大量的个人用户感染病毒。“磁碟机”已经出现100多余个变种,目前病毒感染和传播范围正在呈现蔓延之势。病毒造成的危害及损失十倍于“熊猫烧香”。
专家介绍, 电脑感染“磁碟机”变种病毒后,症状表现为运行任意程序时系统经常性死机或长时间卡住不动,病毒会以加密感染的方式感染除系统盘外的其它所有分区内的EXE文件、网页文件、RAR和 ZIP压缩包中的文件等。被感染的文件图标变为16位图标,图标变得模糊,类似马赛克状。病毒一旦发现带有符合安全工具软件相关的窗口名存在,就会强行将其关闭,并发送洪水似垃圾消息。在所有盘符下生成“autorun.inf”和病毒程序文件体,并且会实时检测保护这些文件。病毒会下载20余种木马病毒,用以窃取中毒电脑中有价值的隐私信息。病毒通过十余种方式实现自我保护和避免被杀毒软件查杀,其隐藏和自我保护技术超过以往任何同类病毒。
反毒专家认为,磁碟机病毒是近几年以来发现的病毒技术含量最高、破坏性最强的病毒,其破坏能力、自我保护和反杀毒软件能力均十倍于“熊猫烧香”,建议引起反病毒同行以及各大企事业单位网管员的高度重视。针对该病毒,目前国内反病毒中心已研发推出了“磁碟机”专杀和修复工具,可以强力清除目前所有的变种并有效恢复被感染的EXE文件。
江民“磁碟机”病毒专杀工具下载地址:http://download.jiangmin.info/jmsoft/killvirus.rar
病毒的技术分析
“磁碟机”通过一个ARP病毒在局域网中迅速传播。在感染了该“ARP病毒”的局域网中,除了系统静态绑定MAC地址的计算机外,其他系统所下载的所有正常EXE程序文件都变成磁碟机病毒变种,该变种文件名为“setup.exe”,系一个RAR自解压格式的安装包,运行后就会在用户系统中安装“磁碟机” 变种。
病毒会破坏注册表,使用户无法进入“安全模式”,以及无法查看“隐藏的系统文件”,并实时检测保护这个被修改过的病毒选项,恢复后立即重写。破坏注册表,使用户注册表启动项失效,导致部分通过注册表启动项开机运行的安全软件就无法开机启动运行了。修改注册表,实现开启自动播放的功能。防止病毒体被重定向,删除注册表中的IFEO进程映像劫持项。删除组策略限制的注册表项。
病毒通过搜索注册表,直接强行删除所有安全软件的关联注册表项,使其无法开启监控。利用进程守护技术将病毒的“lsass.exe”、 “smss.exe”进程主体和DLL组件进行关联,实现进程守护。发现病毒文件被删除或被关闭,会马上生成重新。病毒程序以系统级权限运行,部分进程使用了进程保护技术。
病毒的自我保护和隐藏技术无所不用其极。将DLL组件会插入到系统中几乎所有的进程中加载运行(包括系统级权限的进程)。利用了关机回写技术,在关闭计算机时把病毒主程序体保存到[启动]文件夹中,实现开机自启动。系统启动后再将“启动”文件夹中病毒主体删除掉。这样可以隐蔽启动,而不被用户发现。
同时,为了避开杀毒软件主动防御功能,病毒采用了反“Hips”的监控技术,为就使得部分仅通过HIPS技术实现主动防御功能的杀毒软件失效。
病毒有自动升级功能,并有自己的光纤接入的升级服务器,即使在下载流量很大的情况下也可以瞬间升级更新病毒体。该病毒还是反向连接木马下载器,下载列表配置文件在骇客的远程服务器上,骇客可以随时更新不同的病毒变种下载到被感染计算机中安装运行。病毒会下载20种以上的木马病毒程序,其中包括有网络游戏盗号木马和ARP病毒等。病毒还会通过独占的方式访问系统“boot.ini”和“hosts”配置文件。防止DOS级删除病毒体和用hosts文件来屏蔽病毒的恶意网站域名地址。利用控制台命令来设置病毒程序文件的访问运行权限。利用“ping”命令在后台检测当前计算机网络是否连通,如果连通则利用系统 “IE浏览器”进程在后台与骇客服务器进程通信,这样可以躲避部分防火墙的监控。
针对该病毒,国内反病毒中心已经推出了免费专杀工具,可以有效查杀100多个变种并修复并病毒感染的文件,建议感染病毒的用户下载使用。
近几天来,一种名为“磁碟机”的病毒大面积暴发,其作案手段之复杂、更新速度之快、隐蔽性之大、防查杀能力之强,均十分罕见。反病毒专家惊叹,“磁碟机”的“毒性”远远大于臭名昭著的“熊猫烧香”病毒。
据国内两大反病毒服务商江民、金山监测,进入3月中旬后,“磁碟机”突然在互联网掀起波澜,计算机安全警报频频响起。江民公司病毒疫情紧急警报显示,截至15日,已收到5万多台电脑被“磁碟机”感染的反馈,波及政府机关、企事业单位和大量个人用户。目前“磁碟机”已产生上百个变种,并继续呈现蔓延之势,其危害远远大于臭名昭著的“熊猫烧香”病毒。
江民反病毒专家通过技术分析发现,“磁碟机”的破坏性主要表现在:强行关闭绝大多数安全工具软件、杀毒软件,逃避监控;破坏计算机注册表,使用户无法进入安全模式;潜入局域网,使网内很多计算机中的正常程序文件变为“磁碟机”变种;一旦发现病毒文件被删除,会马上重新生成;拥有高超的自我保护和隐藏技术。令人吃惊的是,“磁碟机”能够自动升级,接入光纤连接的升级服务器,即使在下载流量很大的情况下,也可以瞬间更新病毒体,同时下载超过20种木马程序,盗取用户隐私。
金山毒霸反病毒专家李铁军表示,“磁碟机”主要通过网站、U盘、局域网等传播,集成了最流行的病毒技术手段,正逐渐发展为目前感染量大、破坏性强、清除难度高的新“毒王”,即使重装计算机操作系统也难以将其彻底清除。据监测,“磁碟机”的更新频率甚至达到两天一次。
据了解,“磁碟机”并不是一个新病毒,早在去年2月就已初露端倪,只不过当时它的传播量较小,作案手段比较简单。仅隔一年“磁碟机”便脱胎换骨,这让反病毒专家深感意外。目前,江民、金山已在其网站紧急发布了“磁碟机”专杀工具。
当前位置: