磁碟机病毒肆虐 安博士杀毒软件有效防护(图)

  • 时间:
  • 浏览:0





作者: CNET科技资讯网

CNETNews.com.cn

2008-03-28 12:17:16

关键词: 磁碟机 杀毒软件 安博士杀毒软件 安博士 磁碟机病毒

  近日,国内互联网上另1个多 中文名为“磁碟机”的病毒引起了公众的广泛关注。记者就此咨询了韩国网络安全厂商安博士。

  据安博士(中国)技术人员介绍,该病毒叫华Dummycom ,是混合特洛伊木马和病毒技能的恶性代码。被感染的系统会出現 运行缓慢、频繁死机、蓝屏、报错等问題,有点儿是该病毒会关闭运行中的杀毒软件,并使设备无法正常进入安全模式、出現 蓝屏,系统文件将被设置为隐藏情形等严重故障,对缺少有效防护法律法律依据的用户危害巨大。    

  “‘磁碟机’是去年(2007年)12月之前 开始了了了在韩国和化国广泛传播和流行的恶性代码。但安博士早在2007年初就监测到了该病毒,并很快对安博士杀毒软件V3引擎作了升级,同时发布了专杀工具。所以,目前韩国及中国总部都未曾接到用户关于遭受磁碟机侵害而造成故障或损失的报告。截止目前,V3产品都还要全面有效防御、查杀磁碟机样本的原形及A-Y各类变种,诊断名为Diskgen。”  

  如图,安博士互联网安全2008白金版V3都还要有效防御、很快查杀“磁碟机”  

  磁碟机技术症状分析简要  

  技术症状及要点

  Win32/Diskgen 是感染系统可执行文件的病毒。除了感染可执行文件的症状以外,还存在连接特定Host后连续ping,或把自身的行为记录在Autorun.inf后以自动播放的形式自动运行等多种恶性行为。该病毒最初是在2007年3月被报告,以前与该病毒关联的特洛伊木马被报告,紧接着在2007年11月以前Win32/Diskgen的变种接连多次被报告。目前发现磁碟机的变种有15种。   

  完正信息  

  * 传播路径  

  Win32/Diskgen可能性是病毒文件,所以最初是通过感染文件传播。而且也存在此类情形:可能性网络受到相关蠕虫攻击,当用户使用存有漏洞的浏览器访问被植入了Win32/Diskgen 或Dropper的网站时,会出現 自动运行而被感染的情形。可能性该病毒在本地磁盘中生成自身副本的pagefile.pif和Autorun.inf,所以被映射的network driver中也生成自身的副本。而且network driver 也有自动运行的对象,而且不用自动运行被感染。  

  * 运行后症状  

  运行被感染的文件回会生成以下的文件(根据变种的不同,文件名、文件大小、诊断名及生成路径也有所不同)。

  在C盘根目录生成以下文件并加载到内存后删除:

  C:NetApi000.sys- Win-Trojan/Rootkit.4096.D   

  生成和以下相同的自身的副本:

  C:随机生成的数据.log 文件

  C:Documents and Settings(用户名)之前 开始了了了菜单program之前 开始了了了program~.pif"   

  以前在C:WINDOWSsystem32com 文件夹下生成以下文件:

  C:(系统文件夹)comsmss.exe(40,9200 byte) -> Win-Trojan/Agent.409200.KA

  C:( 系统文件夹)comnetcfg.000 (16,384 byte) -> Win-Trojan/Xema.32256.E

  C:( 系统文件夹)comnetcfg.dll (16,384 byte) -> Win-Trojan/Xema.32256.E

  C:( 系统文件夹)comlsass.exe (93,696 byte) -> Win32/Diskgen qq克隆好友 本

  C:( 系统文件夹)随机生成数.log (93,696 byte) -> Win32/Diskgen qq克隆好友 本  

  还在C:WINDOWSsystem32 目录下生成以下文件。:

  C:(系统文件夹)dnsq.dll (16,384 byte)-> Win-Trojan/Xorer.16384   

  另外,该恶性代码拥有终止杀毒软件等防护产品的同类ANTI Virus的症状,而且删除安全模式关联的注册表值,使得重新启动时无法进入安全模式。  

  为了应对此次“磁碟机”的暴发趋势,安博士建议用户立即更新杀毒软件,或到安博士网站下载安博士互联网安全2008白金版,安博士将提供另1个多 月的免费试用期。另外,用户也都还要直接使用安博士在网站首页有点儿免费提供的在线查杀病毒服务。