宝儿

CNET中国·PChome.net·投稿


“磁碟机”病毒近日在互联网引起轩然大波，由于病毒严重侵害了众多企业和个人用户电脑系统，引起了全国电脑用户的一致声讨。随着国内老牌反病毒厂商江民科技率先举起“全国追杀磁碟机”的旗帜，越来越多的杀毒厂商加入到了剿杀“磁碟机”的行列，打响了又一场反病毒大战。
去年的“熊猫烧香”病毒大战人们记忆犹新，因为病毒在电脑里面生成了很多举着三柱香的熊猫图案，一度引起全国电脑用户的议论和恐慌。然而，“磁碟机”病毒似乎并没有“熊猫烧香”那么火爆，但是许多反病毒专家都一致认为“磁碟机”危害十倍于“熊猫烧香”，这是为什么呢？

江民科技反病毒专家何公道近日对“磁碟机”和“熊猫烧香”病毒进行了对比分析，从中可以看出“磁碟机”病毒为什么会被推为“毒王”了。
一 、传播途径
“熊猫烧香”病毒有多种传播方式。通过U盘和感染网页文件挂马传播，通过局域网传播，通过攻破一些大型网站，采用在正常网页上挂马的方式传播。 “磁碟机”病毒利用“ARP病毒”在局域网中进行自我传播，病毒通过访问一个恶意网址，下载并自动运行二十多个病毒，通过其中的ARP病毒，“磁碟机”可以瞬间传遍整个网络内电脑。“磁碟机”也可以通过U盘和网页挂马传播，但目前尚没有发现病毒作者通过攻破大型网站的方式挂马传播的案例，这也是目前“磁碟机”在传播范围上尚不及“熊猫烧香”的原因，但如果一旦病毒作者通过这种方式大面积传播，后果将不堪设想。
二、反攻杀毒软件能力
  “熊猫烧香”和“磁碟机”病毒都有反攻杀毒软件的能力，但不同的是，“熊猫烧香”只是通过发送关闭消息的方式关闭杀毒软件，而“磁碟机”则通过生成一个内核权限的驱动程序来破坏杀毒软件的监控，使杀毒软件的监控功能失效，然后再关闭杀毒软件并阻止杀毒软件升级，并屏蔽主流的杀毒软件网页。这一点上，“磁碟机”远远超过了“熊猫烧香”病毒，导致一些主动防御功能不强的杀毒软件纷纷被关闭，目前，“磁碟机”能够关闭除江民杀毒软件KV2008最新版本之外的大部分主流杀毒软件，这也是为什么众多企业在遇到“磁碟机”病毒时，整个局域网内几乎无一台电脑幸免病毒之灾的原因。
三、自我保护和隐藏能力
  “熊猫烧香”采用的是进程保护，病毒首先生成一个系统服务程序来保护其进程不被关闭，只要清除了病毒生成的系统服务，就可以轻松关闭其进程。而“磁碟机”在自我保护和隐藏技术上几乎无所不用其极，通过十余种技术来达到自我保护的目的。例如：利用进程守护技术，发现病毒文件被删除或被关闭，会马上生成重新运行。病毒程序以系统级权限运行，DLL组件会插入到系统中几乎所有的进程中加载运行(包括系统级权限的进程)。利用了关机回写技术，在关闭计算机时把病毒主程序体保存到[启动]文件夹中，实现开机自启动。系统启动后再将[启动]文件夹中病毒主体删除掉，实现既可隐蔽启动，又不被用户发现的目的。使用反HIPS技术绕过部分主动防御程序“HIPS”的监控。利用光纤接入的服务器高速升级病毒体，迅速更新避免杀毒软件查杀。
五 、病毒变种和自我更新速度
  “熊猫烧香”由于技术上较“磁碟机”简单，加上源代码可能外泄，因此病毒变种较多，而”磁碟机”由于病毒程序复杂，加上目前可以确定其源代码尚未泄露到互联网上，因此一周只出现两到三个变种，最多的时候达到了一天出现两个变种的速度，虽然相较于“熊猫烧香”在变种数量上稍逊一筹，但“磁碟机”的在线升级更新速度之快令人咋舌。江民反病毒专家怀疑“磁碟机”病毒使用了光纤接入的升级服务器，能够实现在下载量很大的情况下，病毒体也可以瞬间自动完成更新。

六、病毒的破坏性
在破坏性上，“熊猫烧香”和“磁碟机”都能够感染电脑内的可执行文件和网页文件，导致系统运行缓慢，不同的是，“磁碟机”在感染文件过程中对感染文件进行了加密存放，使得清除病毒难度更大。两者都可以链接到恶意网页下载木马病毒，但在下载的木马病毒数量上，“磁碟机”远超过“熊猫烧香”，“磁碟机”能够下载二十余种木马病毒，“熊猫烧香”只能下载一个或几个木马。而“磁碟机”借助ARP病毒给企业局域网用户带来了巨大的灾难性事故，由于“磁碟机”可以借助ARP方式瞬间感染所有局域网内电脑，因此许多单位的工作因此中断，造成了不可估量的损失。
七、 病毒的表现形式
在表现形式上，“熊猫烧香”的表现十分明显，感染可执行文件生成“熊猫烧香”的图案，十分易于判断。而“磁碟机”的感染则十分低调隐蔽。他千方百计隐藏自身的行踪，普通用户从表面看很难发现有中毒的痕迹，很多用户中毒后尚不自知，除了感觉系统似乎变慢外无其它明显异常症状。而“磁碟机”病毒也正是在这种刻意低调的伪装下，伺机窃取用户的隐私敏感信息，包括游戏帐号和网上银行、网上证券交易等帐号密码，这比“熊猫烧香”明目张胆的打劫更可怕。

宝儿

3月19日，江民反病毒中心监测到，磁碟机病毒开始变本加厉传播，由原来的一周变种两到三次，到今天一天就变种了两次，病毒作者显然企图与反病毒厂商对抗到底。针对“磁碟机”病毒的最新变种，江民反病毒中心已将磁碟机专杀工具升级至V1.0.0.4版，提醒用户及时升级更新。

新版增加功能：
1：加入最新广谱查毒修复引擎库(2008-03-19)。
2：重绘专杀主程序窗口和关于窗口，防止被最新"磁碟机"病毒变种关闭。
3：改进专杀工具的升级模块，尽量防止ARP病毒对升级更新时产生的干扰。


3月18日，江民反病毒中心推出“磁碟机”病毒专杀 V1.0.0.2正式升级版。

新版增加功能：
1：修改在无权限打开“HOSTS”文件时出错的BUG。
2：加入最小化按钮。
3：加入最新"磁碟机"病毒变种的广谱查毒修复引擎库(2008-03-18)。


3月17日，江民反病毒中心推出磁碟机病毒专杀V1.0.0.1正式升级版。

新版增加功能：
1：修改扫描感染文件时出现的内存泄露问题。
2：加入最新"磁碟机"病毒变种的广谱查毒修复引擎库(2008-03-17)。


3月15日，江民反病毒中心推出“磁碟机”病毒专杀V1.0.0.0正式版。

新版增加功能：
1：修复病毒破坏的注册表项(安全模式、Run启动项、文件夹选项)。
2：删除其它残留在系统盘中的"磁碟机"病毒文件。
3：清除修复被感染的可执行程序。
4：清除网页文件中病毒加入的代码。
5：利用HOSTS文件屏蔽该病毒的部分恶意网址。

3月14日，针对“磁碟机”病毒肆虐互联网的现状，江民反病毒中心推出“磁碟机”病毒专杀V0.0.0.4测试版。

测试版功能：
1：删除"磁碟机"病毒主程序。
2：删除所有盘符下的"autorun.inf"文件以及"autorun.inf所启动的磁碟机病毒主程序"文件。

江民磁碟机病毒专杀下载地址：http://download.jiangmin.info/jmsoft/killvirus.rar

宝儿

近期，磁碟机病毒（又名dummycom病毒）大面积爆发，专家称其危害大大超过有“毒王”之称的“熊猫烧香”病毒，成为时下的“新毒王”之一。360安全中心正密切关注其蔓延态势，并及时推出了专杀和免疫工具，全面绞杀现下出现的磁碟机病毒及其所有变种。专家提醒用户及时下载专杀工具（http://www.360.cn/bobao/cidieji.html）进行查杀并做电脑免疫，以防遭受损失。

360安全专家介绍，“磁碟机”病毒是典型的驱动病毒。病毒首先利用驱动程序使部分安全软件的监控失效，然后强行关闭目前几乎所有安全工具软件以及几乎所有的杀毒软件。其传播途径几乎覆盖了所有木马传播的方式：移动存储工具、局域网ARP攻击、恶意网站下载、其它木马下载器下载等，用户中招的可能性非常之大。截止今日，据现有的数据统计，“磁碟机”病毒及其变种已感染超过数十万台电脑，变种数超过100余种。

电脑感染“磁碟机”变种病毒后，症状表现为系统运行缓慢、系统时间被篡改、频繁出现死机、蓝屏、报错等现象；进程中出现两个lsass.exe和两个smss.exe，且病毒进程的用户名是当前登陆用户名；杀毒软件被破坏，无法正常运行，连安全站点也无法访问；病毒会以加密感染的方式感染除系统盘外的其它所有分区内的EXE文件、网页文件、RAR和ZIP压缩包中的文件等，被感染的文件图标变为类似马赛克状的模糊位图标。

该病毒会下载20余种木马病毒，用以窃取中毒电脑中有价值的隐私信息。并且病毒通过十余种方式实现自我保护和避免被杀毒软件查杀，其隐藏和自我保护技术超过以往任何同类病毒，十分难以查杀。更可怕的莫过于该病毒会篡改安全站点的下载链接，而直接替换为病毒下载链接，致使已中招用户根本无法进行查杀甚至在线求助。360安全专家认为，磁碟机病毒是近几年以来发现的病毒技术含量最高、破坏性最强的病毒，其破坏能力、自我保护和反杀毒软件能力均十倍于“熊猫烧香”，提醒用户以及各大企事业单位网管员的高度重视。

专家建议用户，立即下载360顽固木马专杀大全，使用其中的磁碟机专杀工具即可检测并彻底清除磁碟机病毒；查杀后，把360安全卫士并升级到最新特征库，使用清理恶评插件功能即可弹出提示进行磁碟机免疫。为防止最新变种通过篡改专杀软件的下载链接为木马病毒链接的行为，专家提醒已中招用户最好使用未中毒电脑进行专杀下载后拷贝到中招机器进行查杀。

月夜清风

这东西真让人头疼..............

生个洋娃娃

我家都用苹果本本就不用担心这些问题咯

不会撒娇

上次我朋友来我家玩 就把我电脑系统干废了 病毒到现在也没杀干净 老公说看见她就管她叫“毒王”