近日,国内互联网上一个中文名为“磁碟机”的病毒引起了公众的广泛关注。记者就此咨询了韩国网络安全厂商安博士。
据安博士(中国)技术人员介绍,该病毒又名Dummycom ,是混合特洛伊木马和病毒技能的恶性代码。被感染的系统会出现运行缓慢、频繁死机、蓝屏、报错等现象,特别是该病毒会关闭运行中的杀毒软件,并使设备无法正常进入安全模式、出现蓝屏,系统文件将被设置为隐藏状态等严重故障,对缺少有效防护措施的用户危害巨大。
“‘磁碟机’是去年(2007年)12月开始在韩国和中国广泛传播和流行的恶性代码。但安博士早在2007年初就监测到了该病毒,并迅速对安博士杀毒软件V3引擎作了升级,同时发布了专杀工具。所以,目前韩国及中国总部都未曾接到用户关于遭受磁碟机侵害而造成故障或损失的报告。截止目前,V3产品可以全面有效防御、查杀磁碟机样本的原形及A-Y各类变种,诊断名为Diskgen。”
如图,安博士互联网安全2008白金版V3可以有效防御、迅速查杀“磁碟机”
磁碟机技术症状分析简要
技术症状及要点:
Win32/Diskgen 是感染系统可执行文件的病毒。除了感染可执行文件的症状以外,还存在连接特定Host后连续ping,或把自身的行为记录在Autorun.inf后以自动播放的形式自动运行等多种恶性行为。该病毒最初是在2007年3月被报告,之后与该病毒关联的特洛伊木马被报告,紧接着在2007年11月以后Win32/Diskgen的变种接连多次被报告。目前发现磁碟机的变种有15种。
详细信息
* 传播路径
Win32/Diskgen由于是病毒文件,所以最初是通过感染文件传播。但是也存在此类情况:由于网络受到相关蠕虫攻击,当用户使用存有漏洞的浏览器访问被植入了Win32/Diskgen 或 Dropper的网站时,会出现自动运行而被感染的情况。由于该病毒在本地磁盘中生成自身副本的pagefile.pif和Autorun.inf,所以被映射的network driver中也生成自身的副本。但是network driver 不是自动运行的对象,因此不会自动运行被感染。
* 运行后症状
运行被感染的文件后会生成以下的文件(根据变种的不同,文件名、文件大小、诊断名及生成路径都有所不同)。
在C盘根目录生成以下文件并加载到内存后删除:
C:\NetApi000.sys - Win-Trojan/Rootkit.4096.D
生成和以下相同的自身的副本:
C:\随机生成的数据.log 文件
C:\Documents and Settings\(用户名)\开始菜单\program\开始program\~.pif"
之后在C:\WINDOWS\system32\com 文件夹下生成以下文件:
C:\(系统文件夹)\com\smss.exe (40,960 byte) -> Win-Trojan/Agent.40960.KA
C:\( 系统文件夹)\com\netcfg.000 (16,384 byte) -> Win-Trojan/Xema.32256.E
C:\( 系统文件夹)\com\netcfg.dll (16,384 byte) -> Win-Trojan/Xema.32256.E
C:\( 系统文件夹)\com\lsass.exe (93,696 byte) -> Win32/Diskgen 复制本
C:\( 系统文件夹)\随机生成数.log (93,696 byte) -> Win32/Diskgen 复制本
还在 C:\WINDOWS\system32\ 目录下生成以下文件。:
C:\(系统文件夹)\dnsq.dll (16,384 byte) -> Win-Trojan/Xorer.16384
另外,该恶性代码拥有终止杀毒软件等防护产品的类似ANTI Virus的症状,而且删除安全模式关联的注册表值,使得重新启动时无法进入安全模式。
为了应对此次“磁碟机”的暴发趋势,安博士建议用户立即更新杀毒软件,或到安博士网站下载安博士互联网安全2008白金版,安博士将提供1个月的免费试用期。另外,用户也可以直接使用安博士在网站首页特别免费提供的在线查杀病毒服务。