史上最牛的自動播放病毒

大家都懂得發(fā)展才是硬道理，病毒當(dāng)然也會與時俱進(jìn)，以下所描述的病毒就是一例最難纏的自動播放病毒，它不但把自動播放病毒的傳統(tǒng)優(yōu)勢保存了下來，并且使用了一系列新詭計，讓以往所用的幾乎戰(zhàn)無不勝的殺毒絕招幾乎全部失靈，跟這種病毒過招，讓好事者（包括我）大呼過癮！

1.中毒后的表現(xiàn)

(1) IE瀏覽器自動啟動并打開一些廣告網(wǎng)頁，主要有網(wǎng)游廣告，還有一些少兒不宜的廣告；

(2) 組策略不能正常使用，提示“不能在標(biāo)記為刪除的注冊表項上操作”；或者直接提示不能保存注冊表；“軟件限制規(guī)則”沒有了，或者全部項目都沒有了；先前設(shè)置的組策略通通失效；

(3) 注冊表不能保存，修改后的參數(shù)在系統(tǒng)重啟后自動還原；

(4) 安全模式不能進(jìn)入，啟動安全模式時系統(tǒng)會自動重啟；

(5) 系統(tǒng)的自動播放功能被病毒啟動，而且無法禁用，把注冊表中explorer鍵項的NoDriveTypeAutoRun的數(shù)值數(shù)據(jù)全部改為255（這是十進(jìn)制，十六進(jìn)制是FF），也不能禁用自動播放，重啟后自動啟用自動播放；

(6) 殺毒軟件不能使用，打開殺毒軟件后能在任務(wù)管理器中發(fā)現(xiàn)殺毒軟件的進(jìn)程，但是不出現(xiàn)殺毒軟件的窗口；網(wǎng)上在線殺毒也不能啟用。

2.病毒特征

中毒時，病毒首先進(jìn)入WINDOWS\\system32\\Com目錄，在這個目錄下增加以下程序：

lsass.exe（大小：93716 字節(jié) ，文件日期：2002-12-10，具有隱藏、系統(tǒng)、只讀屬性）

smss.exe（大小：40960 字節(jié)， 文件日期為當(dāng)前日期，具有隱藏、系統(tǒng)、只讀屬性）

netcfg.dll（當(dāng)前日期）

netcfg.000（當(dāng)前日期）

有時還會在這個COM目錄下發(fā)現(xiàn)有explorer病毒，如果這個病毒得手，系統(tǒng)資源管理器就不正常了。

同時在分區(qū)根目錄下增加兩個文件：autorun.inf和pagefile.pif（或pagefile.exe），如果分區(qū)已經(jīng)設(shè)置安全權(quán)限為禁止寫入，則不會寫入病毒。

系統(tǒng)重啟后，可能會在以下目錄寫入病毒文件：

C:\\Documents and Settings\\All Users\\「開始」\\菜單\\程序\\啟動 （程序文件名較長，一般含有兩個exe后綴）；

C:\\WINDOWS\\system32（寫入一個LOG文件，文件名大概為5位數(shù)的數(shù)字；寫入一個antiTool.exe文件，日期為2004年左右，具有隱藏屬性）；

C:\\WINDOWS\\system32\\drivers（寫入一個alg.exe文件，這個目錄下所有的exe可執(zhí)行文件都可以刪除）；

C:\\WINDOWS\\Fonts（這里面所有的exe可執(zhí)行文件都可以刪除）；

IE瀏覽器程序目錄C:\\Program Files\\Internet Explorer\\PLUGINS會被寫入病毒文件（日期為最近兩天內(nèi)的文件一般是病毒，可以刪除；幾個月之前的文件是正常文件，不要動）。

3.處理方法

在中毒后的windows界面處理這個病毒，困難重重，主要表現(xiàn)在以下方面：

用于對付病毒的傳統(tǒng)方式如軟件散列規(guī)則等全部失效；

病毒文件Lsass和smss以及autorun和pagefile很難清除；

用任務(wù)管理器不能終止Lsass和smss病毒的進(jìn)程，提示是系統(tǒng)關(guān)鍵進(jìn)程（進(jìn)程中同時有正常的Lsass、Smss進(jìn)程和病毒進(jìn)程，名稱一樣，但是用戶名不一樣，病毒的用戶名是登錄系統(tǒng)的用戶名，如administrator等；正常的進(jìn)程使用的是system用戶名）；

在CMD界面中使用tasklist和taskkill命令也不能終止病毒進(jìn)程；或者CMD窗口被禁用；

很難在CMD界面中用attrib命令取消病毒的系統(tǒng)屬性，它會自動恢復(fù)；

注冊表幾乎沒用，不能保存修改后的參數(shù)；

用自動播放病毒專殺工具，提示autorun.inf是正常文件，不需處理；殺掉Lsass和Smss等病毒，并修復(fù)被篡改的注冊表后，重啟系統(tǒng)，再次查殺，發(fā)現(xiàn)剛才的殺毒和修復(fù)注冊表根本沒起作用！

4.最有效的辦法

用WinPE啟動光盤啟動系統(tǒng)，或者啟動到DOS模式下：

特別注意刪除smss.exe、Lsass.exe兩個病毒；同時刪除autorun.inf文件和pagefile.pif（或pagefile.exe）文件；

刪除“Documents and Settings\\All Users\\「開始」\\菜單\\程序\\啟動”目錄下的可執(zhí)行exe文件；

刪除上述其他目錄下的幾個病毒文件，如fonts目錄和drivers目錄下的病毒，如果弄不清楚，這兩個目錄下的全部exe可執(zhí)行文件都可以刪除，注意不要漏掉隱藏文件；

重啟系統(tǒng)后，系統(tǒng)基本上沒有問題了，可能還有少數(shù)exe程序和Dll文件感染病毒，使用殺毒軟件查殺就可以了（這時可以正常啟動殺毒軟件了，組策略和注冊表都可以正常使用了）。

注意：

經(jīng)試驗，即使系統(tǒng)禁用了所有驅(qū)動器的自動播放功能，把帶有autorun.inf和pagefile.pif病毒的存儲設(shè)備接入系統(tǒng)后，系統(tǒng)照樣會立即感染病毒，smss.exe和lsass病毒立即激活。

如果重裝操作系統(tǒng)，一定要格式化系統(tǒng)盤分區(qū)，安裝成功后先不要進(jìn)D盤E盤等分區(qū)，也不要使用帶毒的存儲設(shè)備，先安裝殺毒軟件，升級病毒庫，再全盤殺毒。

中這種病毒后，系統(tǒng)并無其他異常跡象，日常使用中無明顯異常感覺，容易使用戶麻痹大意，然而，種種跡象表明，這種病毒是帶有一定目的的，比如QQ密碼就是它覬覦的對象！