【快讯】3月21日，瑞星公司发布红色（一级）安全警报。一个名为“磁碟机（Worm.Win32.Diskgen）”病毒正在网上肆虐，该病毒会试图关闭各种杀毒软件，并自动下载几十种盗号木马病毒，给网民带来极大的损失。瑞星安全专家表示，该病毒的查杀难度超过“熊猫烧香”，截至3月20日，被“磁碟机”感染的电脑已达数十万台。　
3 t3 V* H1 N" q: Y% a' \　　根据监测和技术分析，瑞星安全专家认为，“磁碟机”病毒是一个具有明确经济目的的病毒犯罪团伙所为，他们借鉴了已经被逮捕的“熊猫烧香”病毒团伙的犯罪经验，非常狡猾，在病毒制造、传播和躲避侦查等方面都下足了功夫。瑞星公司已将掌握的相关资料上报给公安部门。
7 ^  p/ y3 o4 T) }1 q' L惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州惠州乐乐论坛3 B! R" R. o" `, N
　　针对目前严峻的安全形势，瑞星公司宣布，将向所有受害网民派发瑞星杀毒软件2008版，用户可以登陆瑞星官方网站（www.rising.com.cn)下载，并免费使用一个月。惠州乐乐论坛% g1 M2 K1 ^: u9 L3 F# P
惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州  l- @* P" ~" P) `8 o! v
　　作为国内唯一具备“智能主动防御”功能的杀毒软件，“瑞星杀毒软件2008版”可以有效对抗该病毒的攻击，针对此病毒的攻击行为进行了重点防御，使病毒无法攻击得手；当病毒运行时，瑞星“智能主动防御”所独有的恶意行为分析技术，还可以在系统底层拦截此病毒的恶意行为，使其无法进行任何破坏，是目前防御“磁碟机”病毒的最有效工具。
! [1 R& y( E2 M- |* R/ J惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州/ B/ c4 m) x8 ]  N( W
（如图，“磁碟机”病毒一运行，即被瑞星“智能主动防御”的“恶意行为检测”技术拦截）
* Z! F7 ?, \+ v; V+ W- h1 C. a( o惠州乐乐论坛
' r& r8 e- U1 X9 G) [, P0 Z% P2 _

1 w0 T0 B$ ~) `. i4 x6 ?惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州　　瑞星反病毒专家表示，“磁碟机”病毒来势凶猛，染毒症状比较容易辨认：杀毒软件被关闭，屏幕右下方的监控状态图标改变；中毒计算机无法进入安全模式；系统文件被强行设置为隐藏状态。如果出现上述现象，则您的电脑可能已被“磁碟机”病毒感染，请下载安装瑞星杀毒软件2008（免费一个月，www.rising.com.cn），对中毒电脑进行彻底查杀。- M- E8 _& ?: t# e: [) b5 `

7 `6 e7 {1 J# |* c* ?8 z, w! P3 s惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州　　瑞星杀毒软件用户升级到最新版本（20.36.32版以上），即可全面防御、查杀该病毒。
% f6 l* q! t; F4 z. Q
' i/ w  ~) N% R8 |6 j$ Y4 b惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州　　“磁碟机”病毒技术分析概要惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州0 I9 G) u: A5 l8 W! L! @9 a
; ~- u5 d6 z) U* e% r- M# ?2 q# Y3 J
　　该病毒使用了rootkits技术，可以从系统底层卸载杀毒软件的钩子，同时会释放自己的驱动，这样就会使杀毒软件的监控失效，无法查杀病毒。同时，病毒还会频繁查找杀毒软件的程序窗口，强行将其关闭。那些没有使用智能主动防御技术的杀毒软件，很容易被此病毒破坏无法运行。惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州( E* l( ~. I( T0 i2 [
, g6 I) R2 X" W! H7 M) [; {
　　病毒运行后，会在C盘根目录下释放病毒驱动NetApi000.sys，该驱动用来恢复SSDT，把杀毒软件挂的钩子全部卸掉。这样，杀毒软件的很多功能将无法使用，如文件监控、注册表监控等。同时，病毒会在系统里释放smss.exe等病毒文件，实现进程保护，使杀毒软件很难彻底查杀。
  B: x3 M2 i) l( C) P2 \, {6 u' d
* U' c1 ^% M! Z0 [www.hzyes.com　　除了关闭杀毒软件之外，磁碟机病毒还会从http://**.c0mo.com、http://**.k0102.com等网站下载数十个木马盗号病毒，试图窃取用户的网游账号装备、网银密码等私密信息。
2 ~: g5 @$ c2 @* h3 p$ g2 S& H' {: V惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州      免费下载瑞星2008杀毒软件：马上下载, D; v- f1 R  C8 Z% G7 o

% U; A) o# g$ z4 U惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州4 D* _+ }; Q4 D7 M" v: V0 w
3 n% \7 a* n) a
===========================================================================* f* M; u" a; W7 `# W% r

. u1 X; r1 O; U9 @9 v% C7 Dwww.hzyes.com这是一个比“熊猫烧香”更狡猾、凶狠的病毒，它会关闭杀毒软件，下载盗号木马，给网民带来极大的损失。截至3月20日，“”已感染数十万台电脑。
4 u5 A2 w6 P/ z! t  ~6 e惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州    瑞星安全专家认为，“”病毒是一个具有明确经济目的的病毒犯罪团伙所为，他们借鉴了已经被逮捕的“熊猫烧香”病毒团伙的犯罪经验，非常狡猾，在病毒制造、传播和躲避侦查等方面都下足了功夫。 ) i* D) P' ^( ^1 d4 @
    针对目前的严峻形势，为了帮助大家防御和查杀“”病毒，瑞星公司向全社会发放免费的“瑞星杀毒软件2008版”，免费使用期一个月。 惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州* d: h! |4 M2 e& \5 I% n* n) b5 g
惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州( a6 i. V) |/ j; b2 s- H6 ~
-----------------------------------------------------------------------------------------------------------------------
7 q& c; \- Z5 T. B惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州. j, s1 @. k( H- A. g
磁碟机的病毒分析* B. j! [7 R' G* Q5 \

• 使多款杀毒软件监控功能失效；
• 自动连接病毒服务器下载最新病毒；
• 强行关闭多款杀毒软件和专杀工具；
• 在所有磁盘中添加autorun.inf和pagefile.pif，使得用户双击打开磁盘的同时运行病毒，从而可以U盘、活动硬盘传播

( B7 f9 ^0 @: Z+ a惠州乐乐论坛磁碟机的解决方案
- E$ C+ n! A: }0 C惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州

• 某些常用安全软件打不开，或打开后立即被关闭；
• 无法进入Windows安全模式；
• 无法正常显示系统隐藏文件；
• 任务管理器中有两个lsass.exe和smss.exe进程；
• 使用Winrar浏览\system32\com\目录有以下病毒文件：
  • systemroot%\system32\com\lsass.exe
  • %systemroot%\system32\com\smss.exe
  • %systemroot%\system32\com\netcfg.dll
  • %systemroot%\system32\com\netcfg.000
• 硬盘根目录下有pagefile.pif和autorun.inf文件；
• 系统目录下存在dnsq.dll文件。

如何判断电脑已感染“磁碟机”病毒？惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州/ W# r# n, T! V+ X
惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州9 @+ ]! J2 `  y( ~6 M$ k
1.       某些常用安全软件打不开，打开后立即被关闭，或者打开后有被“分尸”的现象，这是由于病毒不断向这些软件发送垃圾消息导致他们不能响应正常的用户指令导致。$ w: g) D6 J5 X6 e

6 R* a2 v3 I9 W$ m! t: {

# U7 Q8 G5 w0 z8 p% Z6 ]9 {惠州乐乐论坛　　Icesword被破坏惠州乐乐论坛: C. ?& |1 ^8 u$ F" U+ D4 d9 ^4 h7 n

: `( Y! D  n- y% z+ V$ ]  j惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州

, S3 f6 |! s& ]: x8 ^. z5 Z% ]Sreng被破坏
- l% i( U) a6 n  p% L5 _6 F
# o! J4 {( R! I4 U/ O8 G8 V　　2．安全模式被破坏。用户试图进入安全模式时，显示的是蓝屏，这是由于病毒删除了与安全模式相关的注册表键导致3 F( q9 b7 U, x

; R! x4 l' p" v' w& M6 ?惠州乐乐论坛

0 m6 i- k( d) v/ d& n0 R& X
　　3.无法正常显示隐藏文件，且工具－文件夹选项下的“隐藏受保护的操作系统文件”一项被破坏。
; r% T* m0 w' z  o　　惠州乐乐论坛3 _$ g4 D2 J) t% A. l$ U
　　惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州) ]4 F6 z" ^0 ^5 s- u% k' z

& i4 f# R) R& P* f; X( {

' h" f; x7 A' O1 x2 L2 x) P惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州　　4.打开任务管理器，会发现两个lsass.exe和smss.exe进程
: b/ Y+ c* p1 c) V5 G6 w
, ~* `6 t( [: d" f' _6 r惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州

( a1 D' w! ^; r, w6 \* E
　　5.使用Winrar浏览windows32\Com目录下可以发现如下病毒文件惠州乐乐论坛% s, r% C/ Q  f0 z2 ]( j8 C
%systemroot%\system32\com\lsass.exe* m- N0 N( C( a/ ^( x* c
%systemroot%\system32\com\smss.exe惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州4 j/ {% r7 J! r. Y+ f4 E6 a1 g
%systemroot%\system32\com\netcfg.dll
  i. }" X6 k$ |3 h* a- Q惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州%systemroot%\system32\com\netcfg.000# G3 M) v% j' @* s) p7 e
惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州* `/ Q# X. h6 F% I  t

' q8 f+ ]% x" f  i! m　　各盘根目录下有pagefile.pif和autorun.inf文件
+ `, X3 s- b7 d　
! `9 o2 Q% i" gwww.hzyes.com

www.hzyes.com* o4 f: e2 Y1 q! W( m) }
　　系统目录下存在dnsq.dll文件
# x+ f. x8 t6 s  I  D' }6 A; u0 B3 h9 X+ X$ S* K; }/ [

2 P1 K( J5 N1 K0 d# c* I

5 M) @; `5 V& m" w+ V8 ywww.hzyes.com[ 本帖最后由 名声大震 于 2008-4-7 12:33 编辑 ]

刚看了一下.
: f& |  l* l. C/ K惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州  那两个进程只有一个也.