磁碟机病毒(worm.vcting)爆发症状

来源： IT168.com　 作者： 若水   2008-03-25/11:41

软件频道 电脑安全 杀毒防毒 正文

• 症状
• 爆发
• 病毒
• 安全
• 软件
• 感染
• 碟机
• 运行
• 系统
• 下载

近日，一种专门入侵企业网络并能强行关闭多种杀毒软件的“磁碟机”病毒正在网络中蔓延，很多公司、企业和学校都遭受了该病毒——“磁碟机”的入侵。“磁碟机”病毒早在去年2月份就被截获，但是近期变种频繁，大有卷土重来之势。该病毒运行后，首先在被感染计算机的后台实时监控当前系统所运行的程序，一旦发现某些安全软件的程序正在运行，则强行将其关闭并退出，同时所有相关安全软件的升级程序和安装程序也将无法运行。此外，该病毒还会导致被感染计算机系统出现蓝屏、死机等现象，严重危害计算机的系统和数据安全。

中了磁碟机病毒后，它会在windows系统目录下生成lsass.exe及smss.exe文件，并且修改系统时间为1980年，当时这个病毒不是以下载器为目的的，自身也有较多BUG，入侵后，容易引起系统蓝屏死机。以后的变种逐步吸收了AV终结者和机器狗的特性，对抗安全软件的能力逐步增强。

磁碟机病毒至今已有多个变种，该病毒感染系统之后，会象蚂蚁搬家一样将更多木马下载到本地运行，以盗号木马为主。同时，磁碟机病毒还会下载其它木马下载器，比如AV终结者，中毒后的典型表现是众多病毒木马混合感染，其中下载的ARP病毒会对局域网产生严重影响。

磁碟机病毒的典型破坏表现：

1.注册全局HOOK，扫描含有常用安全软件关键字的程序窗口，发送大量消息，致使安全软件崩溃

2.破坏文件夹选项，使用户不能查看隐藏文件

3.删除注册表中关于安全模式的值，防止启动到安全模式

4.创建驱动，保护自身。该驱动可实现开机删除自身，关机创建延迟重启的项目实现自动加载。

5.修改注册表，令组策略中的软件限制策略不可用。

6.不停扫描并删除安全软件的注册键值，防止安全软件开机启动。

7.在各磁盘创建autorun.inf和pagefile.pif，利用双击磁盘或插入移动设备时自动运行功能传播。

8.将注册表的整个 RUN 项及其子键全部删除，阻止安全软件自动加载

9.释放多个病毒执行程序，完成更多任务

10.病毒通过重启重命名方式加载，位于注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\KeysNotToRestore下的Pending RenameOperations字串。

11.感染除system32目录外的其它EXE文件（病毒感染行为不断进化，从感染其它分区到感染系统分区），最特别的是病毒还会解包RAR文件，感染其中的EXE之后，再打包成RAR。

12.下载大量木马到本地运行，用户最终受损情况，决定于这些木马的行为。