磁碟机病毒(worm.vcting)前世今生

[磁碟机病毒疫情的发生]
磁碟机病毒最早出现在去年2月份，是在windows系统目录下生成lsass.exe及smss.exe文件，并且修改系统时间为1980年，当时这个病毒不是以下载器为目的的，自身也有较多BUG，入侵后，容易引起系统蓝屏死机。以后的变种逐步吸收了AV终结者和机器狗的特性，对抗安全软件的能力逐步增强。

[病毒分析]
磁碟机病毒至今已有多个变种，该病毒感染系统之后，会象蚂蚁搬家一样将更多木马下载到本地运行，以盗号木马为主。同时，磁碟机病毒还会下载其它木马下载器，比如AV终结者，中毒后的典型表现是众多病毒木马混合感染，其中下载的ARP病毒会对局域网产生严重影响。

对于普通电脑用户来说，磁碟机病毒入侵后，除了安全软件不可用之外，系统的其它功能基本正常。因此，普通用户发现中毒是在盗号事件发生之后，一般用户不象我们这样关注安全软件和系统管理工具是不是能够运行。并且，在这种情况下，用户基本无法正常使用杀毒软件完成病毒清除，甚至想重新安装另一个杀毒软件也变得不可能。

典型磁碟机破坏的表现：
1.注册全局HOOK，扫描含有常用安全软件关键字的程序窗口，发送大量消息，致使安全软件崩溃
2.破坏文件夹选项，使用户不能查看隐藏文件
3.删除注册表中关于安全模式的值，防止启动到安全模式
4.创建驱动，保护自身。该驱动可实现开机删除自身，关机创建延迟重启的项目实现自动加载。
5.修改注册表，令组策略中的软件限制策略不可用。
6.不停扫描并删除安全软件的注册键值，防止安全软件开机启动。
7.在各磁盘创建autorun.inf和pagefile.pif，利用双击磁盘或插入移动设备时自动运行功能传播。
8.将注册表的整个 RUN 项及其子键全部删除，阻止安全软件自动加载
9.释放多个病毒执行程序，完成更多任务
10.病毒通过重启重命名方式加载，位于注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\KeysNotToRestore下的Pending RenameOperations字串。
11.感染除system32目录外的其它EXE文件（病毒感染行为不断进化，从感染其它分区到感染系统分区），最特别的是病毒还会解包RAR文件，感染其中的EXE之后，再打包成RAR。
12.下载大量木马到本地运行，用户最终受损情况，决定于这些木马的行为。

磁碟机各版本表现不尽相同，典型的分析请参考爱毒霸社区的两个实例：
http://bbs.duba.net/thread-21894878-1-1.html
http://bbs.duba.net/thread-21891665-1-1.html


[病毒传播途径]
1.U盘/移动硬盘/数码存储卡传播
2.各种木马下载器之间相互传播
3.通过恶意网站下载
4.通过感染文件传播
5.通过内网ARP攻击传播

[解决方案]
磁碟机病毒和AV终结者、机器狗的表现很类似，技术上讲磁碟机的抗杀能力更强。从我们了解到的情况看，多种杀毒软件无法拦截磁碟机的最新变种，在中毒之后，安装杀毒软件失败的可能性很大。因此，目前的方案是优先使用磁碟机专杀工具。

有关专杀工具的使用、下载和升级说明，请参考：http://bbs.duba.net/thread-21892665-1-1.html

专杀工具点我下载


在某些没有任何防御措施的电脑上，可能磁碟机专杀工具一运行就会被删除。据调查，这种情况是多种病毒混合入侵导致。在这种极端情况下，我们可以尝试的杀毒方案有：

1.尝试启动系统到安全模式或带命令行的安全模式（很可能会失败）
具体办法：重启前，从其它正常电脑COPY已经升级到最新的杀毒软件，简单地把整个安装目录COPY过来。安全模式下运行kav32.exe，或者在命令行下运行kavdx。如果这个病毒不是很BT的话，有希望搞定。

2.WINPE急救光盘引导后杀毒（Winpe不易得到，不是所有人都有，需要的可以搜索一下到网上找。）
WINPE启动后，运行kav32.exe或kavdx

3.挂从盘杀毒（有多台电脑的情况下，比较容易使用）
必须注意，在挂从盘杀毒前，正常的电脑务必使用金山清理专家的U盘免疫功能，将所有磁盘的自动运行功能关闭，避免使用双击的方式访问带毒硬盘，禁用自动运行能大大减少中毒的风险（在这里咒骂微软10000遍，这个自动运行就是为传播病毒准备的，除此之外，屁用都么有）

4.你遇到了极端的情况，前三个条件都不具备，手工杀毒又不会，那只有一招，把C盘格了重装吧，装完切记，不要用双击打开其它磁盘或插入可能有毒的U盘，先上网下载毒霸，升级到最新，使用清理专家的U盘免疫器，禁用所有磁盘的自动运行。（继续咒骂微软10000遍）

对于更了解系统的朋友来说，有手工方法来解决这些病毒，貌似有点难度，供大家参考，希望各位朋友都学会，这样我们就不必这样忙了。噶噶^__^

远程清除机器狗/AV终结者混合入侵实战(http://bbs.duba.net/thread-21892331-1-1.html)

爱毒霸四法宝干掉磁碟机(http://bbs.duba.net/thread-21895120-1-1.html)

[防御措施]
参考“狗犬不惊”之防狗秘笈（http://bbs.duba.net/thread-21893089-1-1.html）

太好了,正找发头条的主题呢

很麻烦的一个病毒！！～～

这个病毒的确好难搞啊

多学习学习


先谢谢铁军了

[ 本帖最后由 w1k2202 于 2008-3-14 14:21 编辑 ]

这个真的很麻烦，铁GG不愧文采好。小女拜上

顶一个!好东西!

引用:

原帖由 铁军 于 2008-3-14 12:08 发表
磁碟机病毒专题

[磁碟机病毒疫情的发生]
磁碟机病毒最早出现在去年2月份，是在windows系统目录下生成lsass.exe及smss.exe文件，并且修改系统时间为1980年，当时这个病毒不是以下载器为目的的，自身也有较多BUG， ...

还好我已经经历过了.现在没事

就是感覺殺不盡！我的繫統時間被改成到2001年

可恶的“自动运行”
我以装好系统第一件事就是禁了光驱的自动运行，
那时我不知硬盘有自动运行也不会禁止的
自从前年那只熊猫来后我才知道
因此，我现在装好机第一件事就是将自动运行禁了——之前我用“U盘病毒免疫器”的

很使用。LZ厉害。

學習了，謝謝鐵軍

真好看!

一丝苦涩女孩

前几天中了磁碟机,中了后安全模式无法进入,正常启动电脑马上无响应,原来是与毒霸"冲突"
尝试开机前强行删除毒霸,终于可以开机了

太复杂了！看不太明白…… 以后慢慢学了！

老大出品，必属精品

厉害！！
我就中了一机器狗！！！
幸运啊！！！

佩服`多多赐教!

问一问
WINPE最新版是哪个？

想当初中了这病毒```格掉掉全盘``还好没什么重要资料~……