【IT168 专稿】近期在网络上流传着一个病毒，变种速度极快感染力超强，据说能破主动防御、能破坏操作系统的安全模式、屏蔽杀软等功能。一直无缘相见，今天有幸在同事电脑上抓获甚是欣慰，下面是在高手的指点下解剖给大家看看这个病毒的高明之处。

    一、感染情况和症状
    病毒被激活后电脑没有明显的中毒症状，为了加快病毒的发作重新启动计算机。启动速度正常，没有明显的停滞，首次进入桌面后操作缓慢；WINDOWS任务管理器失效，能正常启动但是不能操作；系统资源占用率始终保持在100%；资源管理器和IE均能够打开但是执行效率很低，要等很久；金山毒霸杀毒软件不能正常启动；通过工具软件检测发现开启数个PING.EXE的进程；并间断性的加载IE广告；其他软件能正常使用但是效率都很低；第二次开机计算机运行速度恢复正常，开启杀毒软件失败；无法进入安全模式。这些是中毒后计算机呈现出的表面症状，如果你的计算机出现如上症状基本可以判定为“磁碟机”的受害者。

   二、追踪病毒
   1、文件删、写
   为了植入的可靠性，病毒会在受攻击的计算机中大量产生自己的副本文件，在可用磁盘根目录下生成PAGEFILE.EXE和AUTORUN.INF两个文件，这两个文件的用途经历过U盘病毒的用户都知道，主要是通过“自动播放”感染的方式传播病毒，如果关闭了自动播放，病毒会调用注册表启用，经测试病毒还会对这2个文件进行定时扫描，一旦删除短时间内会重新生成；再继续往下看，病毒将排除系统盘尽可能的感染标准可执行文件，一些RAR的自解压文件可以幸免而被感染的可执行文件有个典型的特征就是图标变成256色图标。在感染可执行文件的同时病毒会在系统盘中丢下了至少8个项目的副本文件C盘根目录下2个，SYSTEM32\COM目录下4个，SYSTEM32目录下2个。如图一 

被感染的可执行文件和病毒产生的文件

    2、注册表删改
    通过系统检测日志软件的记录，发现病毒对注册表进行了大量的修改，主要体现在对安全模式的破坏，也是我们无法进入安全模式的根本原因，具体到如下键值SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}（标准的安全模式）SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}（网络支持的安全模式）被删除掉了，当然还有其他网络安全模式这里不一一列举；杀毒软件无法正常启动也是相同的问题，杀毒软件的服务启动项目被病毒删除了SYSTEM\CurrentControlSet\Services下的类如：KAVBASE（金山毒霸的服务项）；为了防止病毒体被重新定位，病毒还将SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项目彻底删除掉了。

    3、病毒的自我修复
    下面进入病毒自我保护部分的分析，该病毒能破坏主流杀毒软件和安全工具的正常使用，能破坏系统的安全模式，这些都是被动防御的方式，来看看病毒的主动修复方面。首先病毒在运行过程中会检查互斥体"xcgucvnzn"，判断病毒是否已加载在内存中，避免病毒的多次运行；释放驱动C:\NetApi000.sys（\Device\NetApi000）用于恢复SSDT Hook，接着再自我删除达到HIPS和主动防御安全软件失效的作用；病毒还会在\system32\com下启动smss.exe和lsass.exe，实现守护进程，当其中一个进程被干掉的时候另一个进程将重新启动被干掉的进程，形成一个死循环永远无法关闭；病毒还会在C:\windows\system32\dnsq.dll安装全局钩子，注入所有运行中的进程，一旦DNSQ.DLL进程被关闭操作系统也会自动重启；较高级的还属这条，该病毒还使用了byshell的技术，当系统正常关机时自动调用SeShutdownPrivilege函数，dnsq.dll会将C盘下的***.log拷贝至：C:\Documents and Settings\All Users\「开始」菜单\程序\启动\，系统重新启动时病毒就会自动重新运行，很多专杀工具失效的主要原因就在这里。