文件名称：lsass.exesmss.exe

　　病毒名称：Worm.Win32.DiskGen(瑞星) Trojan.Win32.Agent.ctd(卡吧)

　　中文别名：磁碟机

　　文件长度：94208 byte

　　编写语言：Microsoft Visual C++ 6.0

　　文件MD5：0c6852cc681e40e3d4a77f36c8d3c569

　　依赖平台：Win 9X/ME/NT/2K/XP/2K3

　　行为分析：

　　1、释放病毒副本：

　　%Systemroot%system32Comlsass.exe 94208 字节

　　%Systemroot%system32Comsmss.exe 9365 字节

　　%Systemroot%system32Comnetcfg.dll 40960 字节

　　2、添加启动文件夹，开机启动：

　　C:Documents and Settings当前用户名「开始」菜单程序启动~.pif

　　另外netcfg.dll尝试加载Shellhooks注册表项，但没有实现。

　　3、调用cacls，本身不判断文件系统（FAT或NTFS），后解除目录Com的权限，设为完全控制。

　　参数为：C:winntsystem32com /e /t /g admin:F

　　4、连接网络121.11.245.1**（ 广东省惠州市 电信）下载一个ARP病毒

　　释放到：%Systemroot%system32driversalg.exe 15181 字节

　　5、查找硬盘的文件，如名称里有“360”字样则删除。

　　6、可能会关闭一些窗口：

　　"ollydbg"

　　"softice"

　　"ida"

　　"asm"

　　"360"

　　"木马"

　　"清除"

　　..................

　　7、另外那个仿系统文件的smss.exe，应该和主体lsass.exe是互斥体，也起着进程守护的作用。

　　8、查找磁盘，生成Auorun.inf和pagefile.pif。

　　9、跳过C盘，开始感染EXE文件，但并不全部感染。

　　感染时先把文件加载内存中，提取其图标资源，最后删除原文件，把修改过的文件栲贝回去。

　　因为这样，所以图标会变模糊，可能是无法读32位的....（知道的大牛请指导下）

　　PS：运行感染的文件，会释放一个filename.exe.log。但是仍无法执行

　　用PE工具对比下，基本上文件是报废了，区段被覆盖，DOS头、入口等都发生变化``

　　10、感染文件时如果发现Zip和Rar格式的，则用Rar自解压命令释放EXE文件，感染后重新打包放回原处！

　　汗一个....高科技了

　　11、查找硬盘的htm、html、asp、spx、php、jsp网页文件，插入一段框架代码（16进制加密）

　　解后得：h**p://js.k0102.com/01.asp。

　　被和谐了汗，打不开！

　　解决方法：

　　1、下载：

　　http://www.kingzoo.com/tools/孤独更可靠/PowerRmv.com

　　http://www.kingzoo.com/tools/孤独更可靠/冰刃.rar

　　2、运行冰刃，结束假冒系统文件的病毒（Lsass.exe和smss.exe）

　　注意，路径在C:Windowssystem32Com下

　　3、打开，选上抑制杀灭对象生成，填入下面内容后，确定：

　　C:Windowssystem32Comlsass.exe

　　C:Windowssystem32Comsmss.exe

　　C:Windowssystem32driversalg.exe

　　C:Windowssystem32Comnetcfg.dll

　　C:AUTORUN.INF

　　C:pagefile.pif

　　D:AUTORUN.INF

　　D:pagefile.pif

　　E:AUTORUN.INF

　　E:pagefile.pif

　　F:AUTORUN.INF

　　F:pagefile.pif

　　4、删除文件：

　　C:Documents and Settings当前用户名「开始」菜单程序启动~.pif

　　5、重新安装杀毒软件，以前的杀软可能被感染了。

　　然后全盘扫。。那些被感染的文件恢复可能性不大``