解读磁碟机病毒前世今生

　　磁碟机病毒疫情的发生

　　磁碟机病毒最早出现在去年2月份，金山毒霸反病毒专家李铁军表示，当时该病毒只是在windows系统目录下生成lsass.exe及smss.exe文件，并且修改系统时间为1980年，当时这个病毒并非以下载器为目的，自身也有较多BUG，入侵后，容易引起系统蓝屏死机。以后的变种逐步吸收了AV终结者和机器狗的特性，对抗安全软件的能力逐步增强。

　　磁碟机病毒分析

　　磁碟机病毒至今已有上百个变种，据金山毒霸全球反病毒监测中心表示，该病毒感染系统之后，会象“蚂蚁搬家”一样将更多木马下载到本地运行，以盗号木马为主。同时，磁碟机病毒还会下载其它木马下载器，比如AV终结者，中毒后的典型表现是众多病毒木马混合感染，其中下载的ARP病毒会对局域网产生严重影响。

　　对于普通电脑用户来说，磁碟机病毒入侵后，除了安全软件不可用之外，系统的其它功能基本正常。因此，普通用户发现中毒是在盗号事件发生之后，一般用户并不是经常关注安全软件和系统管理工具是不是能够运行。并且，在这种情况下，用户基本无法正常使用杀毒软件完成病毒清除，甚至想重新安装另一个杀毒软件也变得不可能。

　　典型磁碟机破坏的表现

　　1.注册全局HOOK，扫描含有常用安全软件关键字的程序窗口，发送大量消息，致使安全软件崩溃

　　2.破坏文件夹选项，使用户不能查看隐藏文件

　　3.删除注册表中关于安全模式的值，防止启动到安全模式

　　4.创建驱动，保护自身。该驱动可实现开机删除自身，关机创建延迟重启的项目实现自动加载

　　5.修改注册表，令组策略中的软件限制策略不可用

　　6.不停扫描并删除安全软件的注册键值，防止安全软件开机启动

　　7.在各磁盘创建autorun.inf和pagefile.pif，利用双击磁盘或插入移动设备时自动运行功能传播