3月21日，瑞星公司发布红色(一级)安全警报。近期，一个名为“磁碟机(Worm.Win32.Diskgen)”病毒正在网上肆虐，其危险程度正在加强。该病毒会试图关闭各种杀毒软件，并自动下载几十种盗号木马病毒，给网民带来极大的损失。瑞星安全专家表示，该病毒的查杀难度超过“熊猫烧香”，截至3月20日，被“磁碟机”感染的电脑已达数十万台。

　　根据监测和技术分析，瑞星安全专家认为，“磁碟机”病毒是一个具有明确经济目的的病毒犯罪团伙所为，他们借鉴了已经被逮捕的“熊猫烧香”病毒团伙的犯罪经验，非常狡猾，在病毒制造、传播和躲避侦查等方面都下足了功夫。瑞星公司已将掌握的相关资料上报给公安部门。

　　针对目前严峻的安全形势，瑞星公司宣布，将向所有受害网民派发瑞星杀毒软件2008版，用户可以登陆瑞星官方网站(www.rising.com.cn)下载，并免费使用一个月。

　　作为国内唯一具备“智能主动防御”功能的杀毒软件，“瑞星杀毒软件2008版”可以有效对抗该病毒的攻击，针对此病毒的攻击行为进行了重点防御，使病毒无法攻击得手;当病毒运行时，瑞星“智能主动防御”所独有的恶意行为分析技术，还可以在系统底层拦截此病毒的恶意行为，使其无法进行任何破坏，是目前防御“磁碟机”病毒的最有效工具。

　　瑞星反病毒专家表示，“磁碟机”病毒来势凶猛，染毒症状比较容易辨认：杀毒软件被关闭，屏幕右下方的监控状态图标改变;中毒计算机无法进入安全模式，进入安全模式时会蓝屏;系统文件被强行设置为隐藏状态。如果出现上述现象，则您的电脑可能已被“磁碟机”病毒感染，请下载安装瑞星杀毒软件2008(免费一个月，www.rising.com.cn)，对中毒电脑进行彻底查杀。

　　瑞星杀毒软件用户升级到最新版本(20.36.32版以上)，即可全面防御、查杀该病毒。

　　五招分辨磁碟机病毒：

　　1、某些杀毒软件和安全软件无法运行，被强行关闭，或者打开后有被“分尸”的现象

　　工具软件Sreng被病毒破坏后

　　2、安全模式被破坏。用户试图进入安全模式时，显示的是蓝屏，这是由于病毒删除了与安全模式相关的注册表键导致。

　　3、无法正常显示隐藏文件，且工具-文件夹选项下的“隐藏受保护的操作系统文件”一项被破坏。

　　4、打开任务管理器，会发现两个lsass.exe和smss.exe进程

　　5、使用Winrar可以发现如下病毒文件。

　　%systemroot%\system32\com\lsass.exe

　　%systemroot%\system32\com\smss.exe

　　%systemroot%\system32\com\netcfg.dll

　　%systemroot%\system32\com\netcfg.000

　　“磁碟机”病毒技术分析概要

　　该病毒使用了rootkits技术，可以从系统底层卸载杀毒软件的钩子，同时会释放自己的驱动，这样就会使杀毒软件的监控失效，无法查杀病毒。同时，病毒还会频繁查找杀毒软件的程序窗口，强行将其关闭。那些没有使用智能主动防御技术的杀毒软件，很容易被此病毒破坏无法运行。

　　病毒运行后，会在C盘根目录下释放病毒驱动NetApi000.sys，该驱动用来恢复SSDT，把杀毒软件挂的钩子全部卸掉。这样，杀毒软件的很多功能将无法使用，如文件监控、注册表监控等。同时，病毒会在系统里释放smss.exe等病毒文件，实现进程保护，使杀毒软件很难彻底查杀。

　　除了关闭杀毒软件之外，磁碟机病毒还会从http://**.c0mo.com、http://**.k0102.com等网站下载数十个木马盗号病毒，试图窃取用户的网游账号装备、网银密码等私密信息。