磁碟機(jī)病毒木馬猖獗

1、磁碟機(jī)病毒木馬猖獗 磁碟機(jī)病毒木馬猖獗 教你應(yīng)對(duì)方法 教你應(yīng)對(duì)方法2008 年 03 月 17 日 14:28 【字號(hào) 大 中 小】 打印 留言 論壇 網(wǎng)摘 手機(jī)點(diǎn)評(píng)糾錯(cuò) E-mail 推薦: 提交磁碟機(jī)木馬最近成為安全領(lǐng)域的熱門話題，據(jù)悉，進(jìn)入 3 月以來(lái)，“磁碟機(jī)”木馬作者已經(jīng)更新了數(shù)次，感染率和破壞力正逐步提高。磁碟機(jī)木馬介紹：“磁碟機(jī)”木馬也叫 dummycom，該程序運(yùn)行后關(guān)閉并阻止 360 安全衛(wèi)士和卡巴、瑞星、金山、江民

2、等安全類軟件的運(yùn)行，除此之外還會(huì)刪除系統(tǒng)中含有“360”字樣的文件。感染后，進(jìn)程中會(huì)多出 smss.exe 和 lsass.exe 進(jìn)程，使用任務(wù)管理器結(jié)束后會(huì)造成計(jì)算機(jī)重啟，并自動(dòng)下載大量的木馬到本地機(jī)器。據(jù)分析，該木馬使用的關(guān)閉安全軟件的方法和以往不同，其通過(guò)發(fā)生一堆垃圾消息，導(dǎo)致安全程序的崩潰，連 icesword（冰刃）也未能幸免。其在運(yùn)行后，會(huì)在 system32 的 Com目錄下生成 smss.exe,lsass.exe,

3、netcfg.dll 等文件并在 system32 下生成 dsnq.dll 文件，在關(guān)機(jī)瞬間會(huì)寫一個(gè)文件到開始菜單的啟動(dòng)項(xiàng)中；需要注意的是，該病毒使用極其惡毒的感染方式，感染除 SYSTEM32 目錄外其它目錄下的所有可執(zhí)行文件(*.exe)，導(dǎo)致文件被感染后無(wú)法使用且部分文件無(wú)法恢復(fù)。2、重啟系統(tǒng)后，檢查 system32 和 dllcache 目錄。發(fā)現(xiàn)改名后的 cm.dll 都在，但是，system32 目錄下出現(xiàn)了一個(gè)怪怪的