磁碟机病毒分析

　　病毒分析

　　磁碟机病毒至今已有多个变种，该病毒感染系统之后，会象蚂蚁搬家一样将更多木马下载到本地运行，以盗号木马为主。同时，磁碟机病毒还会下载其它木马下载器，比如AV终结者，中毒后的典型表现是众多病毒木马混合感染，其中下载的ARP病毒会对局域网产生严重影响。

　　对于普通电脑用户来说，磁碟机病毒入侵后，除了安装的安全软件不可用之外，系统的其它功能基本正常。因此，普通用户发现中毒是在盗号事件发生之后，一般用户不象我们这样关注安全软件和系统管理工具是不是能够运行。并且，在这种情况下，用户基本无法正常使用杀毒软件完成病毒清除，甚至想重新安装另一个杀毒软件也变得不可能。

　　我们来对比下，运行磁碟机病毒之前和之后的进程项：

　　运行病毒前：

图18 运行磁碟机病毒之前的系统进程表

　　病毒运行后：可以看到，病毒伪装成系统的进程lsass和smss,但是仔细看，映像的路径和原始路径不一样，变成C:\WINNT\System32\com。

图19 运行磁碟机病毒后的系统进程表