最近，一種名為“磁碟機(jī)”病毒大面積暴發(fā)，其“作案”手段復(fù)雜，更新速度快，隱蔽性大，反查殺能力強(qiáng)。反病毒專家介紹，新一代毒王“磁碟機(jī)”的“毒性”已遠(yuǎn)遠(yuǎn)大于臭名昭著的“熊貓燒香”病毒。

反病毒公司介紹，“磁碟機(jī)”病毒利用釋放并加載的驅(qū)動(dòng)程序攻擊殺毒軟件，破壞殺毒軟件的自保護(hù)機(jī)制，使殺毒軟件監(jiān)控失效，讓用戶電腦失去防護(hù)?！按诺鷻C(jī)”通過網(wǎng)站、U盤、局域網(wǎng)等傳播，集成了最流行的病毒技術(shù)手段，正逐漸發(fā)展為目前感染量大、破壞性強(qiáng)、清除難度高的新“毒王”。與“熊貓燒香”病毒一樣，“磁碟機(jī)”病毒更新速度快，平均一兩天變種一次，從而能夠逃避殺毒軟件的特征值查殺?！按诺鷻C(jī)”還能夠自動(dòng)升級(jí)，“磁碟機(jī)”病毒一旦在用戶電腦成功運(yùn)行后，會(huì)自動(dòng)接入光纖連接升級(jí)服務(wù)器，下載病毒最新版本和超過20種木馬病毒到本地運(yùn)行，盜取用戶虛擬資產(chǎn)和其他機(jī)密信息，同時(shí)該病毒會(huì)感染用戶機(jī)器上的exe文件，包括壓縮包內(nèi)的exe文件，導(dǎo)致用戶很難徹底清除。

為應(yīng)對(duì)“磁碟機(jī)”病毒，殺毒軟件公司紛紛開發(fā)出“磁碟機(jī)”病毒專殺工具。但是，這種專殺工具治標(biāo)不治本，它只是在“磁碟機(jī)”病毒已經(jīng)感染并造成破壞后，所采取的補(bǔ)救措施。由于“磁碟機(jī)”病毒還在不停變種，與殺毒軟件一樣，專殺工具也無法查殺最新版的“磁碟機(jī)”病毒。

微點(diǎn)反病毒專家介紹，微點(diǎn)主動(dòng)防御軟件采取獨(dú)有的主動(dòng)防御技術(shù)，不依賴于病毒的特征值，就可能夠有效防御“磁碟機(jī)”病毒的所有變種，是目前國際上防御“磁碟機(jī)”病毒最有效的工具。微點(diǎn)公司為用戶提供免費(fèi)的微點(diǎn)主動(dòng)防御軟件90天試用版，用戶可以從www.micropoint.con.cn網(wǎng)站下載使用。

延伸閱讀

磁碟機(jī)檔案

中文名：磁碟機(jī)

英文名：Virus.Win32.Xorer.aex

體貌特征：該程序是使用VC編寫的病毒程序，采用UPX加殼方式試圖躲避特征碼掃描，加殼后長度為94，208字節(jié)，圖標(biāo)為Windows默認(rèn)可執(zhí)行文件圖標(biāo)，病毒擴(kuò)展名為exe，主要通過網(wǎng)頁木馬、文件感染、移動(dòng)存儲(chǔ)介質(zhì)方式傳播。

磁碟機(jī)犯罪實(shí)錄

實(shí)錄現(xiàn)場：Windows 2000/Windows XP/Windows 2003

流竄地點(diǎn)：網(wǎng)頁木馬、文件感染、移動(dòng)存儲(chǔ)介質(zhì)

實(shí)錄一：

1.強(qiáng)殺N多安全軟件

磁碟機(jī)病毒運(yùn)行后，會(huì)強(qiáng)行關(guān)閉包含如下名稱的程序窗口，同時(shí)試圖用大量垃圾消息淹掉窗口進(jìn)程使其無法處理消息而自行退出；利用互斥體技術(shù)防止同時(shí)運(yùn)行多個(gè)病毒。

2.惡意破壞注冊(cè)表

修改注冊(cè)表鍵值隱藏病毒文件，強(qiáng)行開啟Windows自動(dòng)播放功能，強(qiáng)行破壞安全模式，斷絕了用戶通過安全模式修復(fù)系統(tǒng)的希望。

3.病毒感染雙保險(xiǎn)

檢測系統(tǒng)當(dāng)前的用戶名，確保%systemroot%\\system32\\com目錄下可以寫入文件，同時(shí)清空該目錄下的舊病毒和磁碟機(jī)免疫文件，以保證病毒感染萬無一失。

4.強(qiáng)行突破殺毒軟件

釋放隱藏的病毒暴力驅(qū)動(dòng)C:\\NetApi000.sys，保護(hù)病毒進(jìn)程無法被任務(wù)管理器結(jié)束，重置系統(tǒng)分發(fā)表將所有系統(tǒng)服務(wù)重置，從而使多種病毒監(jiān)控程序失效。

5.再伸魔手通殺殺軟

將系統(tǒng)中包含有如下字符的進(jìn)程關(guān)閉：Kmailmon、Guard、Scan、Kissvc、Watch、Kv、Twister、Avp、rav。

試圖強(qiáng)行刪除下列安全軟件服務(wù)：MPSVCService、AntiVirService、AVP、KWatchSvc、Ekrn、SymEvent、PAVSRV、Tmmbd、McShield、RsRavMon、EQService、KSysMon。

6.強(qiáng)行關(guān)機(jī)防不勝防

將病毒埋伏到到%ALLUSERSPROFILE%\\「開始」菜單\\程序\\啟動(dòng)目錄下，重命名為~.exe.*******.exe，強(qiáng)制關(guān)機(jī)重啟，令人防不勝防。

實(shí)錄二：磁碟機(jī)詭秘的啟動(dòng)機(jī)制

重啟后，~.exe.*******.exe運(yùn)行，創(chuàng)建互斥體，防止系統(tǒng)中有多個(gè)病毒進(jìn)程運(yùn)行；刪除注冊(cè)表自啟動(dòng)項(xiàng)以使系統(tǒng)中安全軟件無法隨系統(tǒng)自動(dòng)啟動(dòng)；將自身復(fù)制到%systemroot%\\system32\\com目錄下，重命名為lsass.exe，運(yùn)行l(wèi)sass.exe后刪除自身；當(dāng)系統(tǒng)注銷時(shí)再次將lsass.exe的拷貝復(fù)制到啟動(dòng)目錄下，實(shí)現(xiàn)病毒下次的開機(jī)自啟動(dòng)。

實(shí)錄三：

%systemroot%\\system32\\com\\lsass.exe運(yùn)行后，創(chuàng)建名互斥體，防止系統(tǒng)中有多個(gè)病毒進(jìn)程運(yùn)行；檢測文件夾下是否存在免疫文件，如果存在執(zhí)行“卷宗一”中第三大惡行——3.病毒感染雙保險(xiǎn)，確保病毒感染萬無一失，即在com目錄下釋放文件netcfg.000、netcfg.dll與smss.exe；在%systemroot%\\system32目錄下釋放動(dòng)態(tài)庫dnsq.dll，將dnsq.dll注冊(cè)成特殊的啟動(dòng)方式，當(dāng)運(yùn)行新程序時(shí)便會(huì)自動(dòng)加載，安裝全局鉤子，以獨(dú)占方式打開boot.ini與host文件，使得其它線程無法操作這兩個(gè)文件；

重復(fù)執(zhí)行“卷宗一”中相關(guān)惡行。

實(shí)錄四：

1. 霸王病毒

清除所有硬盤分區(qū)和U盤上的autorun病毒腳本，在每個(gè)分區(qū)下生成病毒文件pagefile.pif和磁碟機(jī)的腳本autorun.inf，確保磁碟機(jī)完全占領(lǐng)U盤和硬盤分區(qū)。將smss.exe作為模塊啟動(dòng)病毒~.exe，實(shí)現(xiàn)病毒進(jìn)程相互守護(hù)。

2. 惡毒，連壓縮文件也不放過

磁碟機(jī)病毒會(huì)感染系統(tǒng)分區(qū)里的exe；rar、zip；js等類型文件。

Exe文件先制作病毒體，然后覆蓋感染；壓縮文件zip和rar，解壓后感染，感染后再打包壓縮。

實(shí)錄五：

磁碟機(jī)會(huì)強(qiáng)行彈出如下兩個(gè)廣告網(wǎng)頁：h**p://d.gxlgdx.com /html/qb2.html，h**p:// f.gxlgdx.com /html/dg2.html。

安全提示

已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶，無須任何設(shè)置，微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級(jí)到最新版本，微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版，微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您“發(fā)現(xiàn)未知木馬”，請(qǐng)直接選擇刪除處理(如圖1)。

如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本，微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)\" Virus.Win32.Xorer.aex”，請(qǐng)直接選擇刪除（如圖2）。

對(duì)于未使用微點(diǎn)主動(dòng)防御軟件的用戶，微點(diǎn)反病毒專家建議：

1. 不要在不明站點(diǎn)下載非官方版本的軟件進(jìn)行安裝，避免病毒通過捆綁的方式進(jìn)入您的系統(tǒng)。

2. 建議關(guān)閉U盤自動(dòng)播放，具體操作步驟：開始->運(yùn)行->gpedit.msc->計(jì)算機(jī)配置->管理模板->系統(tǒng)->在右側(cè)找到\"關(guān)閉自動(dòng)播放\"->雙擊->選擇\"已啟用\"。

3. 盡快將您的殺毒軟件特征庫升級(jí)到最新版本進(jìn)行查殺，并開啟防火墻攔截網(wǎng)絡(luò)異常訪問，如依然有異常情況請(qǐng)注意及時(shí)與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持。