3月21日，瑞星公司发布红色(一级)安全警报。近期，一个名为“磁碟机(Worm.Win32.Diskgen)”病毒正在网上肆虐，其危险程度正在加强。该病毒会试图关闭各种杀毒软件，并自动下载几十种盗号木马病毒，给网民带来极大的损失。瑞星安全专家表示，该病毒的查杀难度超过“熊猫烧香”，截至3月20日，被“磁碟机”感染的电脑已达数十万台。目前，瑞星杀毒软件用户升级到最新版本(20.36.32版以上)，即可全面防御、查杀该病毒。

　　五招分辨磁碟机病毒：www.goodsgy.com

　　1、某些杀毒软件和安全软件无法运行，被强行关闭，或者打开后有被“分尸”的现象www.goodsgy.com

工具软件Sreng被磁碟机病毒破坏后

www.goodsgy.com

　　2、安全模式被破坏。用户试图进入安全模式时，显示的是蓝屏，这是由于病毒删除了与安全模式相关的注册表键导致。www.goodsgy.com

　　3、无法正常显示隐藏文件，且工具-文件夹选项下的“隐藏受保护的操作系统文件”一项被破坏。www.goodsgy.com

　　4、打开任务管理器，会发现两个lsass.exe和smss.exe进程www.goodsgy.com

　　5、使用Winrar可以发现如下病毒文件。www.goodsgy.com

　　%systemroot%\system32\com\lsass.exewww.goodsgy.com

　　%systemroot%\system32\com\smss.exewww.goodsgy.com

　　%systemroot%\system32\com\netcfg.dllwww.goodsgy.com

　　%systemroot%\system32\com\netcfg.000www.goodsgy.com

“磁碟机”病毒技术分析概要www.goodsgy.com

　　该病毒使用了rootkits技术，可以从系统底层卸载杀毒软件的钩子，同时会释放自己的驱动，这样就会使杀毒软件的监控失效，无法查杀病毒。同时，病毒还会频繁查找杀毒软件的程序窗口，强行将其关闭。那些没有使用智能主动防御技术的杀毒软件，很容易被此病毒破坏无法运行。www.goodsgy.com

　　病毒运行后，会在C盘根目录下释放病毒驱动NetApi000.sys，该驱动用来恢复SSDT，把杀毒软件挂的钩子全部卸掉。这样，杀毒软件的很多功能将无法使用，如文件监控、注册表监控等。同时，病毒会在系统里释放smss.exe等病毒文件，实现进程保护，使杀毒软件很难彻底查杀。www.goodsgy.com

　　除了关闭杀毒软件之外，磁碟机病毒还会从http://**.c0mo.com、http://**.k0102.com等网站下载数十个木马盗号病毒，试图窃取用户的网游账号装备、网银密码等私密信息。www.goodsgy.com