磁碟機木馬最近成為安全領(lǐng)域的熱門話題，據(jù)悉，進入3月以來，“磁碟機”木馬作者已經(jīng)更新了數(shù)次，感染率和破壞力正逐步提高。該病毒運行后關(guān)閉并阻止360安全衛(wèi)士和卡巴、瑞星、金山、江民等安全類軟件的運行，除此之外還會刪除系統(tǒng)中含有“360”字樣的文件。感染后，進程中會多出smss.exe和lsass.exe進程，使用任務(wù)管理器結(jié)束后會造成計算機重啟，并自動下載大量的木馬到本地機器。

據(jù)分析，該木馬使用的關(guān)閉安全軟件的方法和以往不同，其通過發(fā)生一堆垃圾消息，導致安全程序的崩潰，連icesword(冰刃)也未能幸免。其在運行后，會在 system32的Com 目錄下生成smss.exe，lsass.exe， netcfg.dll等文件并在system32下生成dsnq.dll文件，在關(guān)機瞬間會寫一個文件到開始菜單的啟動項中;

需要注意的是，該病毒使用極其惡毒的感染方式，感染除SYSTEM32 目錄外其它目錄下的所有可執(zhí)行文件(*.exe)，導致文件被感染后無法使用且部分文件無法恢復。詳細癥狀請點擊查看 (第二頁)。

既然所有可執(zhí)行文件(*.exe)都無法運行，那么我們就來手動查殺磁碟機木馬，具體步驟如下：

1、用改名大法將system32和dllcache目錄下的cmd.exe臨時改名為cm.dll(為安全起見，筆者使用了WinRAR的資源管理功能)，再重啟系統(tǒng)看看。

用WinRAR的資源管理功能改名

2、重啟系統(tǒng)后，檢查system32和dllcache目錄。發(fā)現(xiàn)改名后的cm.dll都還在，但system32目錄下出現(xiàn)了一個怪怪的cmd.exe(見下圖)。這個cmd.exe的logo不同于正常的cmd.exe，這個就是病毒現(xiàn)從I386目錄里找出來的!

3、不管這些，先看看病毒文件能否手工刪除(如果那個cmd.exe管用，那么NetApi000.sys即可加載，病毒就會運行)，結(jié)果所有病毒文件都可以被一一刪除了。

4、刪除system32目錄下那個異常的cmd.exe。將system32和dllcache目錄下的cm.dll改回cmd.exe。

注：此測試電腦只有一個分區(qū)，處理到這里，就完事了。但多分區(qū)系統(tǒng)(一般用戶都會有多個分區(qū))，非系統(tǒng)分區(qū)還會有病毒的，記得刪除其他幾個分區(qū)里的病毒，打開其他分區(qū)時點鼠標右鍵—>打開進入，而不是直接雙擊。最重要的，還是要用最新病毒庫的殺毒軟件全盤殺毒，切記!  

最新評論