互联网"艾滋病"恐慌! 磁碟机解决方案

一、“磁碟机”病毒完全档案

中文名：“磁碟机”变种cb（Win32/Kdcyy.cb）
英文名：Trojan/Agent.pgz
病毒类型：木马
危害等级：★★★
影响平台：Win9X/ME/NT/2000/XP/2003

    病毒运行后会在每个磁盘下生成pagefile.exe和Autorun.inf文件，并每隔几秒检测文件是否存在，修改注册表键值，破坏“显示系统文件”功能。每隔一段时间会检测自己破坏过的显示文件、安全模式、Ifeo、病毒文件等项，如被修改则重新破坏。病毒执行后，会删除病毒主体文件。同时病毒会监控lsass.exe、smss.exe、dnsq.dll文件，如果假设不存在的话则重新生成。当拷贝失败后，病毒会调用rd /s /q命令删除原来的文件，再重新写入。病毒会连接恶意网址下载大量木马病毒。

    病毒会感染系统可执行文件，能够利用多种手段终止杀毒软件运行，并可导致被感染计算机系统出现蓝屏、死机等现象，严重危害被感染计算机的系统和数据安全。与其它关闭杀毒软件的病毒不同的是，该病毒利用了多达六种强制关闭杀毒软件和干扰用户查杀的反攻手段，许多自身保护能力不够强壮的杀毒软件在病毒面前纷纷被折。

二、“磁碟机”病毒感染症状

    电脑感染“磁碟机”变种病毒后，症状表现为运行任意程序时系统经常性死机或长时间卡住不动，病毒会以加密感染的方式感染除系统盘外的其它所有分区内的EXE文件、网页文件、RAR和ZIP压缩包中的文件等。被感染的文件图标变为16位图标，图标变得模糊，类似马赛克状。

Icesword被破坏等等

    病毒一旦发现带有符合安全工具软件相关的窗口名存在，就会强行将其关闭（发送洪水似垃圾消息）。在所有盘符下生成“autorun.inf”和病毒程序文件体，并且会实时检测保护这些文件。病毒会下载20余种木马病毒，用以窃取中毒电脑中有价值的隐私信息。病毒通过十余种方式实现自我保护和避免被杀毒软件查杀，其隐藏和自我保护技术超过以往任何同类病毒。

三、“磁碟机”病毒分析报告

    这是一个MFC写的感染型病毒。病毒运行后首先会在C盘根目录下释放病毒驱动NetApi000.sys，该驱动用来恢复SSDT，把杀毒软件挂的钩子全部卸掉。然后在System32路径下的com文件夹中释放病毒文件smss.exe、netcfg.dll、netcfg.000、lsass.exe。然后该程序退出，运行刚刚释放的lsass.exe。

lsass.exe运行后，会在com文件夹下重新释放刚才所释放的文件，同时会在system32文件夹下释放一个新的动态库文件dnsq.dll，然后生成两个随机名的log文件该文件是lsass.exe和dnsq.dll的副本，然后进行以下操作：

 1．  从以下网址下载脚本http://www.****.****/*.htm、.....。

 2．  生成名为”MCI Program Com Application”的窗口。

 3．  程序会删除注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的所有键值。

 4．  查找带以下关键字的窗口，查找带以下关键字的窗口，如果找到则向其发消息将其退出：RsRavMon、McShield、PAVSRV…

 5．  启动regsvr32.exe进程，把动态库netcfg.dll注到该进程中。

 6．  遍历磁盘，在所有磁盘中添加autorun.inf和pagefile.pif，使得用户打开磁盘的同时运行病毒。

 7．  通过calcs命令启动病毒进程得到完全控制权限，使得其他进程无法访问该进程。

 8．  感染可执行文件，当找个可执行文件时，把正常文件放在自己最后一个节中，通过病毒自身所带的种子值对正常文件进行加密。

smss.exe用来实现进程保护，程序运行后会进行以下操作：

 1．创建一个名为xgahrez的互