这是一个mfc写的感染型病毒。
病毒运行后首先会在c盘根目录下释放病毒驱动,该驱动用来恢复ssdt,把杀毒软件挂的钩子全部卸掉。然后在system32路径下文件夹中释放病毒文件、cfg.000、。
然后该程序退出,运行刚刚释放的。
运行后,会文件夹下重新释放刚才所释放的文件,同时会在system32文件夹下释放一个新的动态库文件,然后生成两个随机名的log文件该文件是和的副本,然后进行以下操作。
此病毒变种繁多,并且在不断更新升级,可以绕过主动防御、hips、byshell技术、监控文件和窗口、破坏组策略/ifeo、u盘感染、进程守护、关绝大部分杀毒软件和屏蔽常见安全工具、感染非系统分区下exe等文件((包括rar中的exe文件))、关闭自动更新、破坏安全模式、删除显示受保护的隐藏系统文件选项、开启驱动器自动播放autorun、浏览器弹出广告、使用arp欺骗,坏事做绝,普通用户难以处理。
“磁碟机”病毒近日在互联网引起轩然大波,由于病毒严重侵害了众多企业和个人用户电脑系统,引起了全国电脑用户的一致声讨。越来越多的杀毒厂商加入到了剿杀“磁碟机”的行列,打响了又一场反病毒大战。
去年的“熊猫烧香”病毒大战人们记忆犹新,因为病毒在电脑里面生成了很多举着三柱香的熊猫图案,一度引起全国电脑用户的议论和恐慌。然而,“磁碟机”病毒似乎并没有“熊猫烧香”那么火爆,但是许多反病毒专家都一致认为“磁碟机”危害十倍于“熊猫烧香”,这是为什么呢?
反病毒专家何公道近日对“磁碟机”和“熊猫烧香”病毒进行了对比分析,从中可以看出“磁碟机”病毒为什么会被推为“毒王”了。
一、传播途径“熊猫烧香”病毒有多种传播方式。通过u盘和感染网页文件挂马传播,通过局域网传播,通过攻破一些大型网站,采用在正常网页上挂马的方式传播。“磁碟机”病毒利用“arp病毒”在局域网中进行自我传播,病毒通过访问一个恶意网址,下载并自动运行二十多个病毒,通过其中的arp病毒,“磁碟机”可以瞬间传遍整个网络内电脑。
“磁碟机”也可以通过u盘和网页挂马传播,但目前尚没有发现病毒作者通过攻破大型网站的方式挂马传播的案例,这也是目前“磁碟机”在传播范围上尚不及“熊猫烧香”的原因,但如果一旦病毒作者通过这种方式大面积传播,后果将不堪设想。