磁碟機(jī)木馬最近成為安全領(lǐng)域的熱門話題，據(jù)悉，進(jìn)入3月以來(lái)，“磁碟機(jī)”木馬作者已經(jīng)更新了數(shù)次，感染率和破壞力正逐步提高。 ;6 6_G Sjz  
jsi#l  
　　磁碟機(jī)木馬介紹： ^'53]b:  
+\[![r^P  
　　“磁碟機(jī)”木馬也叫dummycom，該程序運(yùn)行后關(guān)閉并阻止360安全衛(wèi)士和卡巴、瑞星、金山、江民等安全類軟件的運(yùn)行，除此之外還會(huì)刪除系統(tǒng)中含有“360”字樣的文件。感染后，進(jìn)程中會(huì)多出smss.exe和lsass.exe進(jìn)程，使用任務(wù)管理器結(jié)束后會(huì)造成計(jì)算機(jī)重啟，并自動(dòng)下載大量的木馬到本地機(jī)器。 G[<[#$(  
:Z]hI
+7  
　　據(jù)分析，該木馬使用的關(guān)閉安全軟件的方法和以往不同，其通過(guò)發(fā)生一堆垃圾消息，導(dǎo)致安全程序的崩潰，連icesword（冰刃）也未能幸免。其在運(yùn)行后，會(huì)在 system32的Com 目錄下生成smss.exe,lsass.exe, netcfg.dll等文件并在system32下生成dsnq.dll文件，在關(guān)機(jī)瞬間會(huì)寫一個(gè)文件到開始菜單的啟動(dòng)項(xiàng)中； ],}afa!A  
m-S33PG{  
　　需要注意的是，該病毒使用極其惡毒的感染方式，感染除SYSTEM32 目錄外其它目錄下的所有可執(zhí)行文件(*.exe)，導(dǎo)致文件被感染后無(wú)法使用且部分文件無(wú)法恢復(fù)。 \g:qQ*.  
w$[Ds  
　　感染磁碟機(jī)木馬后的癥狀： `NWgETf^#  
+6M+hO]  
　　1、系統(tǒng)運(yùn)行緩慢、頻繁出現(xiàn)死機(jī)、藍(lán)屏、報(bào)錯(cuò)等現(xiàn)象； [(hvK{)  
　　2、進(jìn)程中出現(xiàn)兩個(gè)lsass.exe和兩個(gè)smss.exe，且病毒進(jìn)程的用戶名是當(dāng)前登陸用戶名； 9eN2)a/  
　　3、殺毒軟件被破壞，無(wú)法正常開啟，多種安全輔助工具無(wú)法正常開啟； o- QG& ]  
　　4、系統(tǒng)時(shí)間被篡改； kPX2e h  
　　5、病毒感染.exe文件導(dǎo)致其圖標(biāo)發(fā)生變化； NRuG?^/}d  
　　6、無(wú)法進(jìn)入安全模式； $aPHl  
　　7、隱藏文件無(wú)法顯示； 3auJ^B}  
　　8、組策略被破壞。 g=g.GpFt  
iraRB~  
查殺磁碟機(jī)木馬 G<^]0`"+)t  
A;WwS?fyQ  
　　1、用改名大法將system32和dllcache目錄下的cmd.exe臨時(shí)改名為cm.dll（圖1），重啟系統(tǒng)看看。 E%\7Uo-  
　　2、重啟系統(tǒng)后，檢查system32和dllcache目錄。發(fā)現(xiàn)改名后的cm.dll都在，但是，system32目錄下出現(xiàn)了一個(gè)怪怪的cmd.exe（見下圖）。這個(gè)cmd.exe的logo不同于正常的cmd.exe，該不會(huì)是病毒現(xiàn)從I386目錄里找來(lái)的吧？汗！估計(jì)這DD不能運(yùn)行。 <,4R2'  
　　3、不管這些，先看看病毒文件能否手工刪除（如果那個(gè)cmd.exe管用，NetApi000.sys即可加載，病毒已經(jīng)完整運(yùn)行了。病毒文件是刪不掉的）。 'UvS3]bSYW  
/$Tl#   
　　結(jié)果：所有病毒文件被一一刪除了。 Q#ZD&RZ9.  
q>|[JJ*6_N  
　　4、刪除system32目錄下那個(gè)異常的cmd.exe。將system32和dllcache目錄下的cm.dll改回cmd.exe。 _`X#c-J  
注：我的電腦只有一個(gè)分區(qū)。處理到這里，就完事了。多分區(qū)系統(tǒng)，非系統(tǒng)分區(qū)還有病毒。這樣處理完后并不能徹底解決問(wèn)題，還需用殺軟全盤殺毒。切記！