独家尝鲜 新版ESET NOD32杀毒套装体验

　　为了测试磁碟机的危害，我们再次到新的系统中，不安装ESET Smart Security，直接执行磁碟机程序，执行后，系统马上变得异常。

图12 直接执行磁碟机程序

　　1.双击IE浏览器，提示有错误。

图13 IE浏览器报错

　　2.弹出莫名奇妙的窗口，提示有错误。

图14 弹出莫名奇妙的窗口

图15 系统异常

　　3.弹出钓鱼网站，欺骗用户，企图盗窃QQ密码，网银、网游密码等。

图16 弹出钓鱼网站，欺骗用户

　　中毒后，系统变得非常缓慢，打开IE浏览器经常会无反应，弹出窗口IE发生错误，桌面消失，一会又出现。

　　4.无法登录安全模式，蓝屏。

图17 计算机蓝屏

　　病毒分析

　　磁碟机病毒至今已有多个变种，该病毒感染系统之后，会象蚂蚁搬家一样将更多木马下载到本地运行，以盗号木马为主。同时，磁碟机病毒还会下载其它木马下载器，比如AV终结者，中毒后的典型表现是众多病毒木马混合感染，其中下载的ARP病毒会对局域网产生严重影响。

　　对于普通电脑用户来说，磁碟机病毒入侵后，除了安装的安全软件不可用之外，系统的其它功能基本正常。因此，普通用户发现中毒是在盗号事件发生之后，一般用户不象我们这样关注安全软件和系统管理工具是不是能够运行。并且，在这种情况下，用户基本无法正常使用杀毒软件完成病毒清除，甚至想重新安装另一个杀毒软件也变得不可能。

　　我们来对比下，运行磁碟机病毒之前和之后的进程项：

　　运行病毒前：

图18 运行磁碟机病毒之前的系统进程表

　　病毒运行后：可以看到，病毒伪装成系统的进程lsass和smss,但是仔细看，映像的路径和原始路径不一样，变成C:WINNTSystem32com。

图19 运行磁碟机病毒后的系统进程表