作者:許本新
新近學院機房的老師老是跟我說,他們機房的計算機中毒了,並且穿透了還原精靈(機房爲了管理方便都安裝的還原精靈),我聽說後倒是覺得蠻有意思的,就過去看了一下,不看不知道,一看嚇(he合肥話讀這個音)一跳,機房裏面的計算機病毒真是多如牛毛啊!
其中有一種病毒引起了我的興趣,就是下面圖標顯示的東東,這不是傳說中的機器狗嗎?只聽說這東西很是厲害,正是因爲厲害所以我經常關注它。所以稱今天有時間就把機器狗病毒給大家簡單的介紹一下。
機器狗有很多版本,在這我首先給大家分析一下,新舊版本機器狗的特徵:
1:新版本“機器狗”病毒採用VC++ 6.0編寫,老版本“機器狗”病毒採用彙編編寫
2:新版本“機器狗”病毒採用UPX加殼,老版本“機器狗”病毒採用未知殼。
3:新版本“機器狗”病毒驅動文件很小(1,536 字節),老版本“機器狗”病毒驅動文件很大(6,768 字節)。
4:新版本“機器狗”病毒安裝驅動後沒有執行卸載刪除操作,老版本“機器狗”病毒安裝驅動工作完畢後會卸載刪除。
5:新版本“機器狗”病毒針對的是系統“conime.exe”、“ctfmon.exe”和“explorer.exe”程序文件,老版本“機器狗”病毒只針對系統“userinit.exe”文件。
6:新版本“機器狗”病毒沒有對註冊表進行操作,老版本“機器狗”病毒有對註冊表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”項進行操作(感覺該操作沒必要,因爲重新啓動系統後,“還原保護程序”系統會將其還原掉)。
7:新版本“機器狗”病毒去到系統dllcache文件夾下調用真實系統文件運行,老版本“機器狗”病毒沒有到系統dllcache文件夾下調用真實系統文件運行。
8:老版本“機器狗”病毒採用的是黑色機器小狗圖案的圖標(如下圖),新版本機器狗病毒和程序圖標不定。
我們學院機房中的顯然是老版本機器狗的病毒,計算機中了機器狗病毒後的特徵:打開我的電腦,或者打開IE,在只開一個窗口的情況下,把打開的窗口關閉,桌面進程就會重啓
病毒樣本:explorer.rar
病毒圖片: ![]()
機器狗***繼續瘋狂傳播,四處肆虐。它採用驅動級技術代碼寫成,破壞力遠超熊貓燒香。一旦中了機器狗***,電腦就會被遠程控制,危害極大。
不僅如此,中招的用戶電腦還會被遠程控制,成爲徹底的“肉雞”。這些“肉雞”能夠聯合起來向其他電腦進行***。因此,有效杜絕機器狗***四代的傳播渠道,不僅是保護用戶自己電腦的安全,同時也是對其他用戶電腦進行保護。局域網中一旦有一臺電腦中招,就有可能導致整個網絡癱瘓。
機器狗病毒其實就是一種***下載器,該下載器通過名爲PCIHDD.SYS驅動程序文件進行與DF的硬盤控制權的爭奪,並修改userinit.exe文件。實現徹底的隱蔽開機啓動。目前的臨時解決方案:一是封IP 58.221.254.103,二是在c:windowssystem32drivers下建立免疫文件: pcihdd.sys 。更爲可怕的是機器狗病毒對還原精靈有一定的穿透能力,所以想通過還原精靈解決中毒計算機往往是辦不到的
另外機器狗病毒專殺工具RavMonE Killer是目前唯一一款可以查殺所有機器狗病毒及其變種病毒的工具,實現檢測和清除、修復感染機器狗病毒的磁盤和文件,對機器狗病毒的未知變種具備偵測和處理能力,可以處理目前所有的機器狗病毒家族和相關變種。注意在清除時一定要先打上機器狗免疫補丁補丁結束病毒進程的運行,否則病毒將無法清除。