磁碟机病毒又名dummycom病毒，传播最迅速，变种最快，破坏力最强的病毒。据360安全中心统计每日感染磁碟机病毒人数已逾100,1000用户！“磁碟机”现已经出现100余个变种，病毒感染和传播范围正在呈现蔓延之势。病毒造成的危害及损失10倍于“熊猫烧香”。

磁碟机病毒并不是一个新病毒，早在2007年2月的时候，就已经初现端倪。当时它仅仅作为一种蠕虫病毒，成为所有反病毒工作者的关注目标。而当时这种病毒的行为，也仅仅局限于，在系统目录%system%system32com生成lsass.exe和smss.exe，感染用户电脑上的exe文件。病毒在此时的传播量和处理的技术难度都不大。

然而在病毒作者经过长达一年的辛勤工作——数据表明，病毒作者几乎每两天就会更新一次病毒——之后，并吸取了其他病毒的特点（例如臭名昭著的AV终结者，攻击破坏安全软件和检测工具），结合了病毒流行的传播手段，逐渐发展为感染量、破坏性、清除难度都超过同期病毒的新一代毒王。

磁碟机病毒主要通过U盘和局域网ARP攻击传播，如果无法访问各个安全软件站点，或者从安全站点的官网上下载的安装程序有问题的话，极有可能是已经中了磁碟机病毒“磁碟机”（又名“千足虫”），病毒感染系统可执行文件，能够利用多种手段终止杀毒软件运行，并可导致被感染计算机系统出现蓝屏、死机等现象，严重危害被感染计算机的系统和数据安全。与其它关闭杀毒软件的病毒不同的是，该病毒利用了多达六种强制关闭杀毒软件和干扰用户查杀的反攻手段，许多自身保护能力不够强壮的杀毒软件在病毒面前纷纷被折。

病毒在每个磁盘下生成pagefile.exe和Autorun.inf文件，并每隔几秒检测文件是否存在，修改注册表键值，破坏“显示系统文件”功能。

每隔一段时间会检测自己破坏过的显示文件、安全模式、Ifeo、病毒文件等项，如被修改则重新破坏。病毒执行后，会删除病毒主体文件。

病毒会监控lsass.exe、smss.exe、dnsq.dll文件，如果假设不存在的话则重新生成。当拷贝失败后，病毒会调用rd /s /q命令删除原来的文件，再重新写入。病毒会连接恶意网址下载大量木马病毒。

死机。由于该病毒编写存在一些问题，可能会造成用户安装的软件被损坏，无法使用。

磁碟机病毒是一个下载者病毒，会关闭一些安全工具和杀毒软件并阻止其运行运行，并会不断检测窗口来关闭一些杀毒软件及安全辅助工具，破坏安全模式，删除一些杀毒软件和实时监控的服务，远程注入到其它进程来启动被结束进程的病毒。它有以下特征:

%Systemroot%system32Comsmss.exe

%Systemroot%system32Comnetcfg.000

%Systemroot%system32Comnetcfg.dll

%Systemroot%system32Comlsass.exe

1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象；

2、进程中出现两个lsass.exe和两个smss.exe ,且病毒进程的用户名是当前登陆用户名；（如果只有1个lsass.exe和1个smss.exe，且对应用户名为system，则是系统正常文件，请不用担心）

3、杀毒软件被破坏，多种安全软件无法打开，安全站点无法访问；

4、系统时间被篡改，无法进入安全模式，隐藏文件无法显示；

5、病毒感染.exe文件导致其图标发生变化；

6、会对局域网发起ARP攻击，并篡改下载链接为病毒链接；

7、弹出钓鱼网站

1、U盘/移动硬盘/数码存储卡

2、局域网ARP攻击

3、感染文件

4、恶意网站下载

5、其它木马下载器下载

磁碟机病毒和AV终结者、机器狗的表现很类似，技术上讲磁碟机的抗杀能力更强。多种杀毒软件无法拦截磁碟机的最新变种，在中毒之后，安装杀毒软件失败的可能性很大。在某些没有任何防御措施的电脑上，可能磁碟机专杀工具一运行就会被删除。据调查，这种情况是多种病毒混合入侵导致。在这种极端情况下，可以尝试的杀毒方案有：

1.尝试启动系统到安全模式或带命令行的安全模式

具体办法：重启前，从其它正常电脑COPY已经升级到最新的杀毒软件，简单地把整个安装目录COPY过来。安全模式下运行kav32.exe，或者在命令行下运行kavdx。

2.WINPE急救光盘引导后杀毒

WINPE启动后，运行kav32.exe或kavdx

3.挂从盘杀毒

必须注意，在挂从盘杀毒前，正常的电脑务必使用杀毒软件的U盘免疫功能，将所有磁盘的自动运行功能关闭，避免使用双击的方式访问带毒硬盘，禁用自动运行能大大减少中毒的风险

4.重装系统。

装完切记，不要用双击打开其它磁盘或插入可能有毒的U盘，先上网下载杀毒软件，升级到最新，禁用所有磁盘的自动运行。

%systemroot%system32comlsass.exe

%systemroot%system32comsmss.exe

%systemroot%system32comnetcfg.dll

%systemroot%system32comnetcfg.000

一、传播途径

“熊猫烧香”病毒有多种传播方式。通过U盘和感染网页文件挂马传播，通过局域网传播，通过攻破一些大型网站，采用在正常网页上挂马的方式传播。 “磁碟机”病毒利用“ARP病毒”在局域网中进行自我传播，病毒通过访问一个恶意网址，下载并自动运行二十多个病毒，通过其中的ARP病毒，“磁碟机”可以瞬间传遍整个网络内的电脑。“磁碟机”也可以通过U盘和网页挂马传播，但尚没有发现病毒作者通过攻破大型网站的方式挂马传播的案例，这也是“磁碟机”在传播范围上尚不及“熊猫烧香”的原因，但如果一旦病毒作者通过这种方式大面积传播，后果将不堪设想。

二、反攻杀毒软件能力

“熊猫烧香”和“磁碟机”病毒都有反攻杀毒软件的能力，但不同的是，“熊猫烧香”只是通过发送关闭消息的方式关闭杀毒软件，而“磁碟机”则通过生成一个内核权限的驱动程序来破坏杀毒软件的监控，使杀毒软件的监控功能失效，然后再关闭杀毒软件并阻止杀毒软件升级，并屏蔽主流的杀毒软件网页。这一点上，“磁碟机”远远超过了“熊猫烧香”病毒，导致一些主动防御功能不强的杀毒软件纷纷被关闭，“磁碟机”能够关闭除江民杀毒软件KV2008最新版本之外的大部分主流杀毒软件，这也是为什么众多企业在遇到“磁碟机”病毒时，整个局域网内几乎无一台电脑幸免病毒之灾的原因。

三、自我保护和隐藏能力

“熊猫烧香”采用的是进程保护，病毒首先生成一个系统服务程序来保护其进程不被关闭，只要清除了病毒生成的系统服务，就可以轻松关闭其进程。而“磁碟机”在自我保护和隐藏技术上几乎无所不用其极，通过十余种技术来达到自我保护的目的。例如：利用进程守护技术，发现病毒文件被删除或被关闭，会马上生成重新运行。病毒程序以系统级权限运行，DLL组件会插入到系统中几乎所有的进程中加载运行(包括系统级权限的进程)。利用了关机回写技术，在关闭计算机时把病毒主程序体保存到[启动]文件夹中，实现开机自启动。系统启动后再将[启动]文件夹中病毒主体删除掉，实现既可隐蔽启动，又不被用户发现的目的。使用反HIPS技术绕过部分主动防御程序“HIPS”的监控。利用光纤接入的服务器高速升级病毒体，迅速更新避免杀毒软件查杀。

四、病毒变种和自我更新速度

“熊猫烧香”由于技术上较“磁碟机”简单，加上源代码可能外泄，因此病毒变种较多，而”磁碟机”由于病毒程序复杂，加上可以确定其源代码尚未泄露到互联网上，因此一周只出现两到三个变种，最多的时候达到了一天出现两个变种的速度，虽然相较于“熊猫烧香”在变种数量上稍逊一筹，但“磁碟机”的在线升级更新速度之快令人咋舌。江民反病毒专家怀疑“磁碟机”病毒使用了光纤接入的升级服务器，在下载量很大的情况下，病毒体也可以瞬间自动完成更新。

五、病毒的破坏性

在破坏性上，“熊猫烧香”和“磁碟机”都能够感染电脑内的可执行文件和网页文件，导致系统运行缓慢，不同的是，“磁碟机”在感染文件过程中对感染文件进行了加密存放，使得清除病毒难度更大。两者都可以链接到恶意网页下载木马病毒，但在下载的木马病毒数量上，“磁碟机”远超过“熊猫烧香”，“磁碟机”能够下载二十余种木马病毒，“熊猫烧香”只能下载一个或几个木马。而“磁碟机”借助ARP病毒给企业局域网用户带来了巨大的灾难性事故，由于“磁碟机”可以借助ARP方式瞬间感染所有局域网内电脑，因此许多单位的工作因此中断，造成了不可估量的损失。

六、病毒的表现形式

在表现形式上，“熊猫烧香”的表现十分明显，感染可执行文件生成“熊猫烧香”的图案，十分易于判断。而“磁碟机”的感染则十分低调隐蔽。他千方百计隐藏自身的行踪，普通用户从表面看很难发现有中毒的痕迹，很多用户中毒后尚不自知，除了感觉系统似乎变慢外无其它明显异常症状。而“磁碟机”病毒也正是在这种刻意低调的伪装下，伺机窃取用户的隐私敏感信息，包括游戏账号和网上银行、网上证券交易等账号密码，这比“熊猫烧香”明目张胆的打劫更可怕。

江民反病毒工程师经提取病毒样本分析后认为，多数企业都是因为遭受了同一病毒“千足虫”（又名磁碟机）病毒侵害。统计显示，“磁碟机”病毒及其变种已感染超过5万台电脑，被感染的电脑分布在政府、企事业单位等。

反毒专家何公道认为，“磁碟机”病毒是发现的病毒技术含量最高、破坏性最强的病毒，其破坏能力、自我保护和反杀毒软件能力均10倍于“熊猫烧香”，所以建议引起反病毒同行以及各大企事业单位网管员的高度重视。