网友实战 与“磁碟机”的一次亲密接触

近期在网络上流传着一个病毒，变种速度极快感染力超强，据说能破主动防御、能破坏操作系统的安全模式、屏蔽杀软等功能。一直无缘相见，今天有幸在同事电脑上抓获甚是欣慰，下面是在高手的指点下解剖给大家看看这个病毒的高明之处。

一、感染情况和症状
病毒被激活后电脑没有明显的中毒症状，为了加快病毒的发作重新启动计算机。启动速度正常，没有明显的停滞，首次进入桌面后操作缓慢；WINDOWS任务管理器失效，能正常启动但是不能操作；系统资源占用率始终保持在100%；资源管理器和IE均能够打开但是执行效率很低，要等很久；金山毒霸杀毒软件不能正常启动；通过工具软件检测发现开启数个PING.EXE的进程；并间断性的加载IE广告；其他软件能正常使用但是效率都很低；第二次开机计算机运行速度恢复正常，开启杀毒软件失败；无法进入安全模式。这些是中毒后计算机呈现出的表面症状，如果你的计算机出现如上症状基本可以判定为“磁碟机”的受害者。

二、追踪病毒
1、文件删、写
为了植入的可靠性，病毒会在受攻击的计算机中大量产生自己的副本文件，在可用磁盘根目录下生成PAGEFILE.EXE和AUTORUN.INF两个文件，这两个文件的用途经历过U盘病毒的用户都知　道，主要是通过“自动播放”感染的方式传播病毒，如果关闭了自动播放，病毒会调用注册表启用，经测试病毒还会对这2个文件进行定时扫描，一旦删除短时间内会重新生成；再继续往下看，病毒将排除系统盘尽可能的感染标准可执行文件，一些RAR的自解压文件可以幸免而被感染的可执行文件有个典型的特征就是图标变成256色图标。在感染可执行文件的同时病毒会在系统盘中丢下了至少8个项目的副本文件C盘根目录下2个，SYSTEM32\COM目录下4个，SYSTEM32目录下2个。如图一



被感染的可执行文件和病毒产生的文件

2、注册表删改
　　通过系统检测日志软件的记录，发现病毒对注册表进行了大量的修改，主要体现在对安全模式的破坏，也是我们无法进入安全模式的根本原因，具体到如下键值SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}（标准的安全模式）SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}（网络支持的安全模式）被删除掉了，当然还有其他网络安全模式这里不一一列举；杀毒软件无法正常启动也是相同的问题，杀毒软件的服务启动项目被病毒删除了SYSTEM\CurrentControlSet\Services下