Worm.Win32.Diskgen.gen分析和清除方法

　　Worm.Win32.Diskgen.gen(磁碟机变种)近日死灰复燃，给广大网友造成很多不便。此恶意程序会以驱动的形式加载恶意文件NetApi00.sys到系统内存，来保护恶意进程lsass.exe,smss.exe不被结束，相关恶意文件不被删除。

　　一、病毒相关分析：

　　病毒标签：

　　病毒名称：Worm.Win32.Diskgen.gen

　　病毒别名：磁碟机变种

　　病毒类型：蠕虫

　　感染平台：Windows

　　病毒行为：

　　1、释放驱动文件NetApi00.sys到系统各盘的根目录。

　　注册为服务NetApi00并加载到内存，然后删除该服务。

　　//系统每次启动时，都会通过这种方式加载NetApi00.sys。

　　//该驱动会劫持系统api， 确保恶意程序的进程不被结束，隐藏的系统文件不被显示。

　　2、释放的其他文件：

　　%System%\com\lsass.exe　94,208 字节

　　%System%\com\smss.exe　　　20,713 字节

　　%System%\com\netcfg.000　　45,056 字节

　　%System%\com\netcfg.dll　　45,056 字节

　　%System%\\dnsq.dll　32,256 字节

　　//并将该文件注入到进程explorer.exe

　　还会复制自身到“开始菜单”中的“启动”文件夹并随机命名

　　在系统盘根目录下生成037589.log的备份文件 //与主程序为同一文件

　　3、修改注册表：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

　　"AppInit_DLLs"="%System%\\dnsq.dll"

　　4、程序运行后会执行文件lsass.exe和smss.exe

　　//由于与系统进程同名，所以在任务管理器中不允许结束

　　//而用其他程序结束的话，恶意程序加载的驱动会进行过滤

　　lsass.exe进程会监控窗体，如果出现以下字符串就关闭窗体，

　　……（略）

　　手工清除方法：

　　1、删除启动项中加载的相关恶意程序。

　　2、保证“开始菜单”中“启动”文件夹中没有恶意程序文件。

　　3、用命令“attrib dnsq.dll -s -h”去除文件dnsq.dll的附加属性。

　　4、重命名文件dnsq.dll后，立即关闭电源或强制启动系统。

　　//因为恶意程序加载了驱动并删除了启动驱动的服务，所以通过这种方法使下次启动不加载驱动

　　5、重新启动后，用超级巡警删除各盘的根目录的autorun.inf和pagefile.pif

　　//注意不要双击打开任何磁盘，防止重新运行恶意程序。

　　6、将注册表项AppInit_DLLs置空，用超级巡警修复安全模式。

　　7、删除恶意程序生成的相关文件