Worm.Win32.Diskgen.gen

磁碟机变种,lsass.exe,smss.exe病毒分析
Worm.Win32.Diskgen.gen(磁碟机变种)近日死灰复燃，给广大网友造成很多不便。此恶意程序会以驱动的形式加载恶意文件NetApi00.sys到系统内存，来保护恶意进程lsass.exe,smss.exe不被结束，相关恶意文件不被删除。

一、病毒相关分析：
病毒标签：
病毒名称：Worm.Win32.Diskgen.gen
病毒别名：磁碟机变种
病毒类型：蠕虫
感染平台：Windows

 病毒行为：
1、释放驱动文件NetApi00.sys到系统各盘的根目录。
注册为服务NetApi00并加载到内存，然后删除该服务。
//系统每次启动时，都会通过这种方式加载NetApi00.sys。
//该驱动会劫持系统api， 确保恶意程序的进程不被结束，隐藏的系统文件不被显示。
2、释放的其他文件：
%System%\com\lsass.exe　94,208 字节
%System%\com\smss.exe　　　20,713 字节
%System%\com\netcfg.000　　45,056 字节
%System%\com\netcfg.dll　　45,056 字节
%System%\\dnsq.dll　32,256 字节
//并将该文件注入到进程explorer.exe
还会复制自身到“开始菜单”中的“启动”文件夹并随机命名
在系统盘根目录下生成037589.log的备份文件   //与主程序为同一文件
3、修改注册表：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="%System%\\dnsq.dll"
4、程序运行后会执行文件lsass.exe和smss.exe
//由于与系统进程同名，所以在任务管理器中不允许结束
//而用其他程序结束的话，恶意程序加载的驱动会进行过滤
lsass.exe进程会监控窗体，如果出现以下字符串就关闭窗体，见附件：

二、解决方案
推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。
超级巡警下载地址：http://www.dswlab.com/d1.html

手工清除方法：
1、删除启动项中加载的相关恶意程序。
2、保证“开始菜单”中“启动”文件夹中没有恶意程序文件。
3、用命令“attrib dnsq.dll -s -h”去除文件dnsq.dll的附加属性。
4、重命名文件dnsq.dll后，立即关闭电源或强制启动系统。
   //因为恶意程序加载了驱动并删除了启动驱动的服务，所以通过这种方法使下次启动不加载驱动
5、重新启动后，用超级巡警删除各盘的根目录的autorun.inf和pagefile.pif
   //注意不要双击打开任何磁盘，防止重新运行恶意程序。
6、将注册表项AppInit_DLLs置空，用超级巡警修复安全模式。
7、删除恶意程序生成的相关文件