病毒传播途径
1.U盘/移动硬盘/数码存储卡传播
2.各种木马下载器之间相互传播
3.通过恶意网站下载
4.通过感染文件传播

5.通过内网ARP攻击传播

病毒的技术分析
“磁碟机”通过一个ARP病毒在局域网中迅速传播。在感染了该“ARP病毒”的局域网中，除了系统静态绑定MAC地址的计算机外，其他系统所下载的所有正常EXE程序文件都变成磁碟机病毒变种，该变种文件名为“setup.exe”，系一个RAR自解压格式的安装包，运行后就会在用户系统中安装“磁碟机” 变种。

病毒会破坏注册表，使用户无法进入“安全模式”，以及无法查看“隐藏的系统文件”，并实时检测保护这个被修改过的病毒选项，恢复后立即重写。破坏注册表，使用户注册表启动项失效，导致部分通过注册表启动项开机运行的安全软件就无法开机启动运行了。修改注册表，实现开启自动播放的功能。防止病毒体被重定向，删除注册表中的IFEO进程映像劫持项。删除组策略限制的注册表项。

病毒通过搜索注册表，直接删除所有安全软件的关联注册表项，使其无法开启监控。利用进程守护技术将病毒的“lsass.exe”、“smss.exe”进程主体和DLL组件进行关联，实现进程守护。发现病毒文件被删除或被关闭，会马上生成重新。病毒程序以系统级权限运行，部分进程使用了进程保护技术。

病毒的自我保护和隐藏技术无所不用其极。将DLL组件会插入到系统中几乎所有的进程中加载运行(包括系统级权限的进程)。利用了关机回写技术，在关闭计算机时把病毒主程序体保存到“启动”文件夹中，实现开机自启动。系统启动后再将“启动”文件夹中病毒主体删除掉。这样可以隐蔽启动，而不被用户发现。同时，为了避开杀毒软件主动防御功能，病毒采用了反“Hips”的监控技术，就使得部分仅通过HIPS技术实现主动防御功能的杀毒软件失效。

病毒有自动升级功能，并有自己的光纤接入的升级服务器，即使在下载流量很大的情况下也可以瞬间升级更新病毒体。该病毒还是反向连接木马下载器，下载列表配置文件在骇客的远程服务器上，骇客可以随时更新不同的病毒变种下载到被感染计算机中安装运行。病毒会下载20种以上的木马病毒程序，其中包括有网络游戏盗号木马和ARP病毒等。病毒还会通过独占的方式访问系统“boot.ini”和“hosts”配置文件。防止DOS级删除病毒体和用hosts文件来屏蔽病毒的恶意网站域名地址。利用控制台命令来设置病毒程序文件的访问运行权限。利用“ping”命令在后台检测当前计算机网络是否连通，如果连通则利用系统 “IE浏览器”进程在后台与骇客服务器进程通信，这样可以躲避部分防火墙的监控。

解决方案
磁碟机病毒和AV终结者、机器狗的表现很类似，技术上讲磁碟机的抗杀能力更强。从我们了解到的情况看，多种杀毒软件无法拦截磁碟机的最新变种，在中毒之后，安装杀毒软件失败的可能性很大。因此，目前的方案是优先使用磁碟机专杀工具。在某些没有任何防御措施的电脑上，可能磁碟机专杀工具一运行就会被删除。据调查，这种情况是多种病毒混合入侵导致。在这种极端情况下，我们可以尝试的杀毒方案有：

1.尝试启动系统到安全模式或带命令行的安全模式，但很可能会失败。具体办法：重启前，从其它正常电脑COPY已经升级到最新的杀毒软件，简单地把整个安装目录COPY过来。安全模式下运行kav32.exe，或者在命令行下运行kavdx。如果这个病毒不是很顽固的话，有希望直接清除。

2.WINPE急救光盘引导后杀毒，但WinPE不易得到，不是所有人都有，如果需要的可以网上搜索。WINPE启动后，运行kav32.exe或kavdx 来查杀病毒。

3.挂从盘杀毒，因网吧有多台电脑的情况，比较容易实现。必须注意，在挂从盘杀毒前，正常的电脑务必启动的U盘免疫功能，将所有磁盘的自动运行功能关闭，避免使用双击的方式访问带毒硬盘，禁用自动运行能大大减少中毒的风险。