“磁碟机”（又名“千足虫”），该病毒并不是一个新病毒，早在2007年2月的时候，就已经初现端倪。当时它仅仅作为一种蠕虫病毒，成为所有反病毒工作者的关注目标。通过检测发现磁碟机是ARP病毒的元凶，它具备多种传播途径，而且具有完善的自我保护能力，如果被感染的用户在清除该病毒是方法不当还会导致重复感染。

中毒后现象：
1、网络时断时续而且网速很慢；
2、当开网页时回弹出类似QQ消息的小广告；
3、局域网中会发现大量ARP欺骗，造成大量电脑无法上网。

磁碟机主要特征：
1、传播途径多：
· U盘/移动硬盘/数码存储卡传播
· 各种木马下载器之间相互传播
· 通过恶意网站下载
· 通过被感染的系统文件、EXE文件和RAR文件传播
· 通过内网ARP攻击传播
· IE漏洞、windows漏洞以及第三方插件漏洞
2、生存能力强：
· 注册全局HOOK，扫描含有常用安全软件关键字的程序窗口，发送大量消息，致使安全软件崩溃
· 破坏文件夹选项，使用户不能查看隐藏文件
· 删除注册表中关于安全模式的值，防止启动到安全模式
· 创建驱动，保护自身。该驱动可实现开机删除自身，关机创建延迟重启的项目实现自动加载。
· 修改注册表，令组策略中的软件限制策略不可用。
· 不停扫描并删除安全软件的注册键值，防止安全软件开机启动。
· 在各磁盘创建autorun.inf和pagefile.pif，利用双击磁盘或插入移动设备时自动运行功能传播。
· 将注册表的整个 RUN 项及其子键全部删除，阻止安全软件自动加载
· 释放多个病毒执行程序，完成更多任务
· 病毒通过重启重命名方式加载，位于注册表
HKEY_LOCAL_MACHINE\SYSTE\MControlSet001\Control\BackupRestore\KeysNotToRestore下的Pending RenameOperations字串。
· 感染除system32目录外的其它EXE文件（病毒感染行为不断进化，从感染其它分区到感染系统分区），最特别的是病毒还会解包RAR文件，感染其中的EXE之后，再打包成RAR。
· 下载大量木马到本地运行，用户最终受损情况，决定于这些木马的行为。
· 通常中毒的电脑中会有两个病毒进行互相监视，一旦其中一个被终止另一个就会被启动，造成无法继续杀毒。
3、多种方式造成用户重复感染
· 在各磁盘创建autorun.inf和pagefile.pif，利用双击磁盘或插入移动设备时自动运行功能传播。如果用户在重装系统盘后没有对其他盘符进行查杀病毒，而是直接双击打开，autorun.inf和pagefile.pif就会被重新激活，电脑就会再次感染磁碟机。
· 感染病毒的执行文件会对程序进行加壳，如果有杀毒软件进项强制脱壳就会造成系统

查杀方法：
1、将system32和dllcache目录下的cmd.exe临时改名为cm.dll，重启系统。
2、重启系统后，检查system32和dllcache目录。发现改名后的cm.dll都在，但是，system32目录下出现了一个怪怪的cmd.exe。这个cmd.exe的logo不同于正常的cmd.exe，不要点击它。
3、删除以下文件：
C:\037589.log
C:\windows\system32\205016.log（这个.log文件名的数字部分可能有变化）
C:\windows\system32\com\LSASS.EXE
C:\windows\system32\com\SMSS.EXE
C:\windows\system32\com\netcfg.000
C:\windows\system32\com\netcfg.dll
C:\windows\system32\dnsq.dll（动态插入应用程序进程）
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\～.exe
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\～.exe
并删除各分区根目录下的：autorun.inf和pagefile.pif
4、删除system32目录下那个异常的cmd.exe。将system32和dllcache目录下的cm.dll改回cmd.exe。
5、用专杀或升级杀软病毒库后查杀整台电脑防止有遗漏的被感染文件。

信息网络中心

2008年4月7日