让我们心有余悸的熊猫烧香病毒刚刚平静下来,又一款更为猖獗的病毒“磁碟机”变种泛滥开来,截止今日,仅根据江民病毒预警系统现有的数据统计,“磁碟机”病毒及其变种已感染超过5万台电脑,被感染的电脑分布在政府、企业事业等众多单位和部门,同时也有大量的个人用户感染病毒。
截止到昨日,“磁碟机”已经出现100余个变种,目前病毒感染和传播范围正在呈现蔓延之势。病毒造成的危害及损失十倍于“熊猫烧香”。
电脑感染“磁碟机”变种病毒后 ,症状表现为运行任意程序时系统经常性死机或长时间卡住不动,病毒会以加密感染的方式感染除系统盘外的其它所有分区内的EXE文件、网页文件、RAR和ZIP压缩包中的文件等。被感染的文件图标变为16位图标,图标变得模糊,类似马赛克状。病毒一旦发现带有符合安全工具软件相关的窗口名存在,就会强行将其关闭。在所有盘符下生成“autorun.inf”和“pagefile.pif”,并且会实时检测保护这些文件。病毒会下载20余种木马病毒,用以窃取中毒电脑中有价值的隐私信息。病毒通过十余种方式实现自我保护和避免被杀毒软件查杀,其隐藏和自我保护技术超过以往任何同类病毒。这也提醒了我们数据备份最好是选择另外的移动存储设备。
这个病毒最明显的特征是,它会杀掉各种杀毒软件进程,同时会关闭冰刃、360safe等常用安全工具,甚至会删除360安全卫士的安装文件。基本上,窗口里带有AntiVirus、Avast、pjf、Icesword、360safe等等字样的软件都会被它杀掉,甚至连带有360安全卫士按钮的IE浏览器都不放过!另外,大多数小型进程管理工具处理不了病毒进程,而稍微强力一点的,比如超级兔子和优化大师的进程管理工具在运行的时候会停止响应。而且,安全模式文件会被病毒破坏,无法进入安全模式杀毒。
磁碟机变种文件特征: (pagefile.pif) Worm.Win32.DiskGen 文件名称:lsass.exe\smss.exe 中文别名:磁碟机 文件长度:94208 byte 编写语言:Microsoft Visual C++ 6.0 文件MD5:0c6852cc681e40e3d4a77f36c8d3c569 依赖平台:Win9X/ME/NT/2K/XP/2K3
磁碟机病毒危害:1. 在每个分区下生成autorun.inf和pagefile.pif文件; 2. 进程管理器多了非system用户的两个lsass.exe和smss.exe进程; 3. 破坏本机杀毒软件运行,删除本机杀毒软件服务、驱动等; 4. 感染本机.exe,.htm,.html,.js,.rar,.zip文件; 5. 释放DLL文件,注册COM组件,弹出广告,下载其他病毒、木马; 6. 中毒后系统无法进入安全模式、组策略功能也被禁用。
目前各类杀毒软件已经公布了相应的专杀工具以及方法,但是想要彻底清楚此病毒还是需要具体情况具体对待,病毒的升级速度相当的快,所以提醒各类用户提高安全警示,以免中招。
