平特心水报图
新網絡營銷基礎與實踐

你的位置:首頁 >網絡營銷 >機器狗病毒

機器狗病毒

     2007年,一種可以穿透各種還原軟件與硬件還原卡的機器狗病毒異常肆虐。此病毒通過pcihdd.sys驅動文件搶占還原軟件的硬盤控制權。并修改用戶初始化文件 userinit.exe來實現隱藏自身的目的。此病毒為一個典型的網絡架構木馬型病毒,病毒穿透還原軟件后將自己保存在系統中,定期從指定的網站下載各種木馬程序來截取用戶的帳號信息。

來歷

曾經有很多人說有穿透還原卡、冰點的病毒,但是在各個論壇都沒有樣本證據,直到2007年8月29日終于有人在社區里貼出了一個樣本。這個病毒沒有名字,圖標是SONY的機器狗阿寶,就像前輩熊貓燒香一樣,大家給它起了個名字叫機器狗。

此病毒采用hook系統的磁盤設備棧來達到穿透目的的,危害極大,可穿透目前技術條件下的大部分的軟件硬件還原!基本無法靠還原抵擋。目前已知的所有還原產品,都無法防止這種病毒的穿透感染和傳播。

機器狗是一個木馬下載器,感染后會自動從網絡上下載木馬、病毒,危及用戶帳號的安全。機器狗運行后會釋放一個名為PCIHDD.SYS的驅動文件,與原系統中還原軟件驅動進行硬盤控制權的爭奪,并通過替換userinit.exe文件,實現開機啟動。

病毒分析  

病毒名稱:Trojan/Agent.pgz

中 文 名:機器狗

病毒類型:木馬

危害等級:★★★

影響平臺:Win 9X/ME/NT/2000/XP/2003

病毒運行特征:

機器狗病毒運行后,會在%WinDir%System32drivers 目錄下釋放出一個名為pcihdd.sys 的驅動程序,該文件會接管冰點或者硬盤保護卡對硬盤的讀寫操作,這樣該病毒就破解了還原系統的保護,使冰點、硬盤保護卡失效。接著,該病毒會利用MS06-014和MS07-017系統漏洞和等多個應用軟件漏洞,從http://xx.exiao***.com/ 、http://www.h***.biz/
、http://www.xqh***.com/ 等惡意網址下載多款網游木馬,盜取包括傳奇、魔獸世界、征途、奇跡等多款網游帳號和密碼,嚴重威脅游戲玩家數字財產的安全。正因為冰點還原軟件和硬盤保護卡大多在網吧使用,因此網吧成為該病毒發作的重災區。該病毒還會隨著ARP病毒傳播,因此對局域網殺傷性極大。

入侵方法  

機器狗本身會釋放出一個pcihdd.sys到drivers目錄,pcihdd.sys是一個底層硬盤驅動,提高自己的優先級接替還原卡或冰點的硬盤驅動,然后訪問指定的網址,這些網址只要連接就會自動下載大量的病毒與惡意插件。然后修改接管啟動管理器,最可怕的是,會通過內部網絡傳播,一臺中招,能引發整個網絡的電腦全部自動重啟。

重點是,一個病毒,如果以hook方式入侵系統,接替硬盤驅動的方式效率太低了,而且毀壞還原的方式這也不是最好的,還有就是這種技術應用范圍非常小,只有還原技術廠商范圍內有傳播,在這方面國際上也只有中國在用,所以,很可能就是行業內杠。

對于網吧而言,機器狗就是劍指網吧而來,針對所有的還原產品設計,可預見其破壞力很快會超過熊貓燒香。好在現在很多免疫補丁都以出現,發稿之日起,各大殺毒軟件都以能查殺。

免疫補丁之爭

現在的免疫補丁之數是疫苗形式,以無害的樣本復制到drivers下,欺騙病毒以為本身已運行,起到阻止危害的目的。這種形式的問題是,有些用戶為了自身安全會在機器上運行一些查毒程序(比如QQ醫生之類)。這樣疫苗就會被誤認為是病毒,又要廢很多口舌。

 如何識別  

是否中了機器狗的關鍵就在 Userinit.exe 文件,該文件在系統目錄的 system32 文件夾中,右鍵點擊一個應用程序,后綴為dll或exe的(記事本格式的屬性沒有版本)單看屬性。如

果在屬性窗口中看不到該文件的版本標簽的話,說明已經中了機器狗。如果有版本標簽則正常。

故障現象

機器狗病毒為一個木馬下載器,病毒采用hook系統的磁盤設備棧來達到穿透目的的,

危害極大,可穿透目前技術條件下的任何軟件硬件還原!基本無法靠還原抵擋,可通過以下幾方面查看是否已中毒:1、激發病毒后會在SYSTEM32下修改userinit.exe ,可通過查看版本信息看出,該文件在系統目錄的 system32

文件夾中,點擊右鍵查看屬性,如果在屬性窗口中看不到該文件的版本標簽的話,說明已經中了機器狗,如果有版本標簽則正常。2、查看DRVERS目錄下產生pcihdd.sys驅動文件,會在啟動項加載“cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32"啟動項,并在windows目錄會產生以上相應文件,機器重啟后以上設置都會真實保存.

解決方法?

如果您想徹底防御機器狗病毒,現在有了一種硬件型防御方案可以考慮,就是藍芯防毒卡,這個卡從技術原理上來說,物理上直接接管了硬盤讀寫,也就是說,硬盤先接到防毒卡上,防毒卡再通過下一代高速硬盤接口PCI-E接到主板上(針對老一代主板也有PCI接口的規格)。這樣防毒卡得以獲得防御病毒的最堅實的一道把關口,讓我們徹底防御機器狗病毒。從理論上來說,只要計算機體系還是馮諾依曼體系,只要病毒還是軟件手段,就可以防止任何已知或未知的機器狗穿透方式的破壞了。

網絡營銷詞典內容均由網友提供,僅供參考。

平特心水报图 湖北快3下载安装 幸运飞艇买冠军怎么看规律 写作赚钱基础课 内蒙古11选5中奖方法玩法 极速赛车六码技巧六码位置 斗地主抢话费下载 3d定一码100准方法 博游戏机规律 六肖网站不改料 极速十一选五计划网页版