磁碟机木马最近成为安全领域的热门话题,据悉,进入3月以来,“磁碟机”木马作者已经更新了数次,感染率和破坏力正逐步提高 。
磁碟机木马介绍:
“磁碟机”木马也叫dummycom,该程序运行后关闭并阻止360安全卫士和卡巴、瑞星、金山、江民等安全类软件的运行,除此之外还会删除系统中含有“360”字样的文件 。感染后,进程中会多出smss.exe和lsass.exe进程,使用任务管理器结束后会造成计算机重启,并自动下载大量的木马到本地机器 。
据分析,该木马使用的关闭安全软件的方法和以往不同,其通过发生一堆垃圾消息,导致安全程序的崩溃,连icesword(冰刃)也未能幸免 。其在运行后,会在 system32的Com 目录下生成smss.exe,lsass.exe, netcfg.dll等文件并在system32下生成dsnq.dll文件,在关机瞬间会写一个文件到开始菜单的启动项中;
需要注意的是,该病毒使用极其恶毒的感染方式,感染除SYSTEM32 目录外其它目录下的所有可执行文件(*.exe),导致文件被感染后无法使用且部分文件无法恢复 。
感染磁碟机木马后的症状:
1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象;
2、进程中出现两个lsass.exe和两个smss.exe,且病毒进程的用户名是当前登陆用户名;
3、杀毒软件被破坏,无法正常开启,多种安全辅助工具无法正常开启;
4、系统时间被篡改;
5、病毒感染.exe文件导致其图标发生变化;
6、无法进入安全模式;
7、隐藏文件无法显示;
8、组策略被破坏 。
查杀磁碟机木马
1、用改名大法将system32和dllcache目录下的cmd.exe临时改名为cm.dll(图1),重启系统看看 。
2、重启系统后,检查system32和dllcache目录 。发现改名后的cm.dll都在,但是,system32目录下出现了一个怪怪的cmd.exe(见下图) 。这个cmd.exe的logo不同于正常的cmd.exe,该不会是病毒现从I386目录里找来的吧?汗!估计这DD不能运行 。
【磁碟机病毒木马猖獗 教你应对方法】3、不管这些,先看看病毒文件能否手工删除(如果那个cmd.exe管用,NetApi000.sys即可加载,病毒已经完整运行了 。病毒文件是删不掉的) 。
结果:所有病毒文件被一一删除了 。
4、删除system32目录下那个异常的cmd.exe 。将system32和dllcache目录下的cm.dll改回cmd.exe 。
注:我的电脑只有一个分区 。处理到这里,就完事了 。多分区系统,非系统分区还有病毒 。这样处理完后并不能彻底解决问题,还需用杀软全盘杀毒 。切记!
推荐阅读
- 反病毒专家:磁碟机病毒来势猛 防查杀力强
- 瑞星紧急发放免费杀毒软件查杀“磁碟机”
- 用好Windows命令 识别木马蛛丝马迹
- 教你如何防止脚本病毒执行的通用方法
- 谈毒色不变 五招识别磁碟机
- 防范邮件病毒 禁止非法程序暗送邮件
- 系统中木马病毒后的简单解决方法
- 若格式化都无效 如何清除”不可杀“病毒?
- 实战攻略:ARP病毒发起欺骗攻击解决方法
- “酷狮子”系列盗号木马病毒原理分析