一周酷软回顾 全线狙杀磁碟机病毒

　　磁碟机病毒近阶段开始泛滥，是近来传播最迅速，变种最快，破坏力最强的病毒。磁碟机病毒感染系统可执行文件，能够利用多种手段终止杀毒软件运行，并可导致被感染计算机系统出现蓝屏、死机等现象。与其它关闭杀毒软件的病毒不同的是，该病毒利用了多达六种强制关闭杀毒软件和干扰用户查杀的反攻手段，许多自身保护能力不够强壮的杀毒软件在病毒面前纷纷被折。

　　病毒在每个磁盘下生成pagefile.exe和Autorun.inf文件，并每隔几秒检测文件是否存在，修改注册表键值，破坏“显示系统文件”功能。每隔一段时间会检测自己破坏过的显示文件、安全模式、Ifeo、病毒文件等项，如被修改则重新破坏。病毒执行后，会删除病毒主体文件。病毒会监控lsass.exe、smss.exe、dnsq.dll文件，如果假设不存在的话则重新生成。当拷贝失败后，病毒会调用rd /s /q命令删除原来的文件，再重新写入。还会对局域网发起ARP攻击，并篡改下载链接为病毒链接，下载大量木马病毒或弹出钓鱼网站。

　　目前各反病毒厂商以及一些安全辅助工具都推出了对应的磁碟机病毒专杀工具：

　　江民磁碟机专杀：能够修复病毒破坏的注册表项(安全模式、Run启动项、文件夹选项)，删除其它残留病毒文件，清除修复被感染的可执行程序和网页文件中的病毒代码。以及利用HOSTS文件屏蔽病毒的部分恶意网址。此外，专杀工具自身的校验模块，能防止受ARP病毒和磁碟机病毒程序的干扰。

　　江民磁碟机专杀主界面

　　360磁碟机病毒专杀工具：能全面查杀磁碟机病毒及最新变种、并且可以完美修复被感染后的文件。同时提供了免疫功能，能一定程度上防止磁碟机病毒入侵。

　　金山机器狗/磁碟机/AV终结者专杀工具：其6.0版本开始支持对磁碟机样本的查杀。

　　瑞星DiskGen家族专杀工具：只能查杀内存和独立文件，不能查杀复合文档中的病毒，比如邮箱或者压缩文件，杀毒结束后如果发现病毒请重新启动电脑。