磁碟機木馬最近成為安全領域的熱門話題,據悉,進入3月以來,“磁碟機”木馬作者已經更新了數次,感染率和破壞力正逐步提高。該病毒運行後關閉並阻止360安全衛士和卡巴、瑞星、金山、江民等安全類軟件的運行,除此之外還會刪除系統中含有“360”字樣的文件。感染後,進程中會多出smss.exe和lsass.exe進程,使用任務管理器結束後會造成計算機重啟,並自動下載大量的木馬到本地機器。
據分析,該木馬使用的關閉安全軟件的方法和以往不同,其通過發生一堆垃圾消息,導致安全程序的崩潰,連icesword(冰刃)也未能幸免。其在運行後,會在 system32的Com 目錄下生成smss.exe,lsass.exe, netcfg.dll等文件並在system32下生成dsnq.dll文件,在關機瞬間會寫一個文件到開始菜單的啟動項中;
需要注意的是,該病毒使用極其惡毒的感染方式,感染除SYSTEM32 目錄外其它目錄下的所有可執行文件(*.exe),導致文件被感染後無法使用且部分文件無法恢復。詳細症狀請點擊查看 (第二頁)。
既然所有可執行文件(*.exe)都無法運行,那麼我們就來手動查殺磁碟機木馬,具體步驟如下:
1、用改名大法將system32和dllcache目錄下的cmd.exe臨時改名為cm.dll(為安全起見,筆者使用了WinRAR的資源管理功能),再重啟系統看看。
用WinRAR的資源管理功能改名
2、重啟系統後,檢查system32和dllcache目錄。發現改名後的cm.dll都還在,但system32目錄下出現了一個怪怪的cmd.exe(見下圖)。這個cmd.exe的logo不同於正常的cmd.exe,這個就是病毒現從I386目錄裡找出來的!
3、不管這些,先看看病毒文件能否手工刪除(如果那個cmd.exe管用,那麼NetApi000.sys即可加載,病毒就會運行),結果所有病毒文件都可以被一一刪除了。
4、刪除system32目錄下那個異常的cmd.exe。將system32和dllcache目錄下的cm.dll改回cmd.exe。
注:此測試電腦只有一個分區,處理到這裡,就完事了。但多分區系統(一般用戶都會有多個分區),非系統分區還會有病毒的,記得刪除其他幾個分區裡的病毒,打開其他分區時點鼠標右鍵—>打開進入,而不是直接雙擊。最重要的,還是要用最新病毒庫的殺毒軟件全盤殺毒,切記!