近日，“磁碟機”病毒在互聯網瘋狂傳播，至今已有超過5萬余臺電腦感染病毒，病毒造成的直接和間接損失十分巨大。3月17日，江民反病毒專家對“磁碟機”病毒進行了詳盡的技術分析，令人感到吃驚的是，病毒竟然使用光纖接入的服務器來升級病毒體，即使在下載量巨大的情況下，病毒升級服務器都可以瞬間完成病毒的更新。
     
       江民反病毒專家介紹，“磁碟機”病毒是典型的驅動病毒。病毒首先利用驅動程序使部分安全軟件的監控失效，然后強行關閉目前幾乎所有安全工具軟件以及幾乎所有的殺毒軟件(江民KV2008可以抵御該病毒)。
     
       “磁碟機”通過一個ARP病毒在局域網中迅速傳播。在感染了該“ARP病毒”的局域網中，除了系統靜態綁定MAC地址的計算機外，其他系統所下載的所有正常EXE程序文件都變成磁碟機病毒變種，該變種文件名為“setup.exe”，系一個RAR自解壓格式的安裝包，運行后就會在用戶系統中安裝“磁碟機”變種。
     
       病毒會破壞注冊表，使用戶無法進入“安全模式”，以及無法查看“隱藏的系統文件”，并實時檢測保護這個被修改過的病毒選項，恢復后立即重寫。破壞注冊表，使用戶注冊表啟動項失效，導致部分通過注冊表啟動項開機運行的安全軟件就無法開機啟動運行了。修改注冊表，實現開啟自動播放的功能。防止病毒體被重定向，刪除注冊表中的IFEO進程映像劫持項。刪除組策略限制的注冊表項。
     
       病毒通過搜索注冊表，直接強行刪除所有安全軟件的關聯注冊表項，使其無法開啟監控。利用進程守護技術將病毒的“lsass.exe”、“smss.exe”進程主體和DLL組件進行關聯，實現進程守護。發現病毒文件被刪除或被關閉，會馬上生成重新。病毒程序以系統級權限運行，部分進程使用了進程保護技術。
     
       病毒的自我保護和隱藏技術無所不用其極。將DLL組件會插入到系統中幾乎所有的進程中加載運行(包括系統級權限的進程)。利用了關機回寫技術，在關閉計算機時把病毒主程序體保存到啟動文件夾中，實現開機自啟動。系統啟動后再將啟動文件夾中病毒主體刪除掉。這樣可以隱蔽啟動，而不被用戶發現。
     
       同時，為了避開殺毒軟件主動防御功能，病毒采用了反“Hips”的監控技術，為就使得部分僅通過HIPS技術實現主動防御功能的殺毒軟件失效。
     
       病毒有自動升級功能，并有自己的光纖接入的升級服務器，即使在下載流量很大的情況下也可以瞬間升級更新病毒體。該病毒還是反向連接木馬下載器，下載列表配置文件在駭客的遠程服務器上，駭客可以隨時更新不同的病毒變種下載到被感染計算機中安裝運行。病毒會下載20種以上的木馬病毒程序，其中包括有網絡游戲盜號木馬和ARP病毒等。病毒還會通過獨占的方式訪問系統“boot.ini”和“hosts”配置文件。防止DOS級刪除病毒體和用hosts文件來屏蔽病毒的惡意網站域名地址。利用控制臺命令來設置病毒程序文件的訪問運行權限。利用“ping”命令在后臺檢測當前計算機網絡是否連通，如果連通則利用系統“IE瀏覽器”進程在后臺與駭客服務器進程通信，這樣可以躲避部分防火墻的監控。
     
       針對該病毒，江民反病毒中心已經推出了免費專殺工具，可以有效查殺100多個變種并修復并病毒感染的文件，建議感染病毒的用戶下載使用。