作者:许本新
新近学院机房的老师老是跟我说,他们机房的计算机中毒了,并且穿透了还原精灵(机房为了管理方便都安装的还原精灵),我听说后倒是觉得蛮有意思的,就过去看了一下,不看不知道,一看吓(he合肥话读这个音)一跳,机房里面的计算机病毒真是多如牛毛啊!
其中有一种病毒引起了我的兴趣,就是下面图标显示的东东,这不是传说中的机器狗吗?只听说这东西很是厉害,正是因为厉害所以我经常关注它。所以称今天有时间就把机器狗病毒给大家简单的介绍一下。
机器狗有很多版本,在这我首先给大家分析一下,新旧版本机器狗的特征:
1:新版本“机器狗”病毒采用VC++ 6.0编写,老版本“机器狗”病毒采用汇编编写
2:新版本“机器狗”病毒采用UPX加壳,老版本“机器狗”病毒采用未知壳。
3:新版本“机器狗”病毒驱动文件很小(1,536 字节),老版本“机器狗”病毒驱动文件很大(6,768 字节)。
4:新版本“机器狗”病毒安装驱动后没有执行卸载删除操作,老版本“机器狗”病毒安装驱动工作完毕后会卸载删除。
5:新版本“机器狗”病毒针对的是系统“conime.exe”、“ctfmon.exe”和“explorer.exe”程序文件,老版本“机器狗”病毒只针对系统“userinit.exe”文件。
6:新版本“机器狗”病毒没有对注册表进行操作,老版本“机器狗”病毒有对注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”项进行操作(感觉该操作没必要,因为重新启动系统后,“还原保护程序”系统会将其还原掉)。
7:新版本“机器狗”病毒去到系统dllcache文件夹下调用真实系统文件运行,老版本“机器狗”病毒没有到系统dllcache文件夹下调用真实系统文件运行。
8:老版本“机器狗”病毒采用的是黑色机器小狗图案的图标(如下图),新版本机器狗病毒和程序图标不定。
我们学院机房中的显然是老版本机器狗的病毒,计算机中了机器狗病毒后的特征:打开我的电脑,或者打开IE,在只开一个窗口的情况下,把打开的窗口关闭,桌面进程就会重启
病毒样本:explorer.rar
病毒图片:
机器狗木马继续疯狂传播,四处肆虐。它采用驱动级技术代码写成,破坏力远超熊猫烧香。一旦中了机器狗木马,电脑就会被远程控制,危害极大。
不仅如此,中招的用户电脑还会被远程控制,成为彻底的“肉鸡”。这些“肉鸡”能够联合起来向其他电脑进行攻击。因此,有效杜绝机器狗木马四代的传播渠道,不仅是保护用户自己电脑的安全,同时也是对其他用户电脑进行保护。局域网中一旦有一台电脑中招,就有可能导致整个网络瘫痪。
机器狗病毒其实就是一种木马下载器,该下载器通过名为PCIHDD.SYS驱动程序文件进行与DF的硬盘控制权的争夺,并修改userinit.exe文件。实现彻底的隐蔽开机启动。目前的临时解决方案:一是封IP 58.221.254.103,二是在c:windowssystem32drivers下建立免疫文件: pcihdd.sys 。更为可怕的是机器狗病毒对还原精灵有一定的穿透能力,所以想通过还原精灵解决中毒计算机往往是办不到的
另外机器狗病毒专杀工具RavMonE Killer是目前唯一一款可以查杀所有机器狗病毒及其变种病毒的工具,实现检测和清除、修复感染机器狗病毒的磁盘和文件,对机器狗病毒的未知变种具备侦测和处理能力,可以处理目前所有的机器狗病毒家族和相关变种。注意在清除时一定要先打上机器狗免疫补丁补丁结束病毒进程的运行,否则病毒将无法清除。
本文转自xubenxin 51CTO博客,原文链接:
http://blog.51cto.com/windows/83866
,如需转载请自行联系原作者