传说中，江湖中的毒中之王是鹤顶红，它见血封喉顷刻间让敌人毙命，闻此毒者无不惊骇奔逃。可这个鹤顶红的传说正在被改写，电子毒物猛于鹤顶红，“磁碟机”的巨大杀伤力让毒王也退避三舍。“磁碟机”为什么有如此大的威力，它究竟给我们造成了什么危害，面对它有没有自救措施，请看本期的CCE记者报道。

事件档案

组合拳的威力

“磁碟机病毒（Worm.Win32.Diskgen）”最早出现在2007年2月份，当时该病毒只是在Windows系统目录下生成lsass.exe及smss.exe文件，并非以下载器为目的，自身也有较多的漏洞，入侵后容易引起蓝屏死机。

但是狡猾的“磁碟机”病毒在一年多来的时间内逐步吸收了AV终结者和机器狗的特性，在2008年3月初的时间断点上，“磁碟机”病毒大面积爆发，变种累计达到130多个，有上百万台电脑受到感染。

目前，面对网民们的一片骂声，面对各大反病毒厂商的联合剿杀，“磁碟机”病毒在风头正劲的时刻选择了暂时“跑路”，截至记者发稿前一周时间，仅仅发布了两个变种，这是在避风头还是气数已尽，或者是在酝酿一场更大的攻击？我们不能妄下断言，但是对这样一个毒物，不少用户的利益受到了侵害，学会防毒、杀毒的方法、养成防护病毒的习惯是最佳“解药”。

对症挂号

“磁碟机”病毒特征

“磁碟机”病毒的一大特征就是不断出现变种，据金山毒霸全球反病毒监测中心表示，该病毒感染系统之后，会自动下载自己的最新版本，还会像“蚂蚁搬家”一样将其他更多木马下载到本地运行，这些木马以能盗取用户虚拟资产和其他有用信息的盗号木马为主。同时，“磁碟机”病毒还会下载其他木马下载器，中毒后的典型表现是众多病毒木马混合感染，其中下载的ARP病毒会对局域网产生严重影响。

“磁碟机”病毒在传播过程中极具隐蔽性，所利用的技术手段都是用户、甚至是杀毒软件无法截获的，它的传播方式大致有三种：

1．在网站上挂马，当用户访问不安全的网站时，就会被植入病毒；

2．通过U盘、移动硬盘、数码存储卡等移动存储的Autorun传播，染毒的机器会在每个分区根目录下释放autorun.inf和pagefile.pif两个文件，达到自动运行的目的；

3．局域网内的ARP传播方式，磁碟机病毒会下载其他的ARP病毒，并利用ARP病毒传播的隐蔽性，在局域网内传播。

对于普通电脑用户来说，磁碟机病毒入侵后，除了安全软件不可用之外，系统的其他功能基本正常，而一般用户并不是经常关注安全软件和系统管理工具是不是能够运行，所以普通用户发现电脑中毒都是在盗号事件发生之后。可一旦发现电脑中毒，用户基本无法正常使用杀毒软件完成病毒清除，甚至想重新安装另一个杀毒软件也变得不可能。

小知识：典型“磁碟机”病毒的破坏表现

1．某些杀毒软件和安全工具无法运行，被强行关闭，或者打开后有被“分尸”的现象；

2．安全模式被破坏，用户试图进入安全模式时，显示的是蓝屏，这是由于病毒删除了与安全模式相关的注册表键导致；

3．无法正常显示隐藏文件，且工具－文件夹选项下的“隐藏受保护的操作系统文件”一项被破坏；

4．打开任务管理器，会发现两个lsass.exe和smss.exe进程，由于Exe文件被感染，重装系统无效；

5．用户信息丢失，甚至有些程序无法使用；

6．使用Winrar可以发现如下病毒文件：
%systemroot%\system32\com\lsass.exe
%systemroot%\system32\com\smss.exe
%systemroot%\system32\com\netcfg.dll
%systemroot%\system32\com\netcfg.000

解决方案

“磁碟机”病毒的查杀之道

“磁碟机”病毒和AV终结者、机器狗的表现很类似，据瑞星反病毒工程师王占涛介绍，从技术上讲“磁碟机”病毒主动对抗反病毒软件的能力很强：会释放驱动把杀毒软件挂的钩子全部卸掉，导致杀毒软件的监控功能失效；会查找带有特定字眼的软件窗口，并强行关闭，导致杀毒软件的主程序无法启动；还可以利用一些特殊的技术，例如，修改系统时间等，使某些杀毒软件无法运行，已经到了能够真正与反病毒软件抗衡的水平。

目前，针对“磁碟机”病毒的查杀方案是优先使用磁碟机专杀工具，记者也总结了有关专杀工具的下载链接和快车代码，可供用户免费使用。不过，在某些没有任何防御措施的电脑上，可能“磁碟机”专杀工具一运行就会被删除，在这种极端情况下，可以尝试瑞星安全缓解工具之类恢复“病毒对系统破坏的工具，或者是把全盘格式化，用光盘重装，重装完禁用所有磁盘的自动运行，并尽快安装杀毒软件，升级到最新病毒库。

主流专杀工具下载

1．金山毒霸机器狗、磁碟机、AV终结者专杀工具http://www.duba.net/zhuansha/259.shtml

下载代码     CCE0812E101

2．瑞星磁碟机（DiskGen）家族专杀工具http://it.rising.com.cn/Channels/Service/2008-02/1201874341d45273.shtml

下载代码     CCE0812E102

3．江民“磁碟机”蠕虫专杀工具http://dl.jiangmin.com/download/zhuansha.htm

下载代码    CCE0812E103

4．360安全卫士磁碟机病毒(Dummycom)专杀工具http://baike.360.cn/4005462/2653388.html

下载代码    CCE0812E104

六大安全问题，应知应会
1．安装正版杀毒软件、个人防火墙和上网安全助手，并及时升级，并保证每天至少升级一次；
2．使用系统安全漏洞扫描工具如360安全卫士等，打好补丁，弥补系统漏洞；
3．不浏览不良网站，不随意下载安装可疑插件；
4．不接收QQ、MSN、E-mail等传来的可疑文件；
5．上网时打开杀毒软件实时监控功能；
6．把网银、网游等重要软件加入到账户保险柜，例如“瑞星账保险柜”中，可以有效保护密码安全。