作者:许本新<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

新近学院机房的老师老是跟我说,他们机房的计算机中毒了,并且穿透了还原精灵(机房为了管理方便都安装的还原精灵),我听说后倒是觉得蛮有意思的,就过去看了一下,不看不知道,一看吓(he合肥话读这个音)一跳,机房里面的计算机病毒真是多如牛毛啊!
其中有一种病毒引起了我的兴趣,就是下面图标显示的东东,这不是传说中的机器狗吗?只听说这东西很是厉害,正是因为厉害所以我经常关注它。所以称今天有时间就把机器狗病毒给大家简单的介绍一下。
机器狗有很多版本,在这我首先给大家分析一下,新旧版本机器狗的特征:
1:新版本“机器狗”病毒采用VC++ 6.0编写,老版本“机器狗”病毒采用汇编编写
2:新版本“机器狗”病毒采用UPX加壳,老版本“机器狗”病毒采用未知壳。
3:新版本“机器狗”病毒驱动文件很小(1,536 字节),老版本“机器狗”病毒驱动文件很大(6,768 字节)。
4:新版本“机器狗”病毒安装驱动后没有执行卸载删除操作,老版本“机器狗”病毒安装驱动工作完毕后会卸载删除。
5:新版本“机器狗”病毒针对的是系统“conime.exe”、“ctfmon.exe”和“explorer.exe”程序文件,老版本“机器狗”病毒只针对系统“userinit.exe”文件。
6:新版本“机器狗”病毒没有对注册表进行操作,老版本“机器狗”病毒有对注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”项进行操作(感觉该操作没必要,因为重新启动系统后,“还原保护程序”系统会将其还原掉)。
7:新版本“机器狗”病毒去到系统dllcache文件夹下调用真实系统文件运行,老版本“机器狗”病毒没有到系统dllcache文件夹下调用真实系统文件运行。
8:老版本“机器狗”病毒采用的是黑色机器小狗图案的图标(如下图),新版本机器狗病毒和程序图标不定。
 

我们学院机房中的显然是老版本机器狗的病毒,计算机中了机器狗病毒后的特征:打开我的电脑,或者打开IE,在只开一个窗口的情况下,把打开的窗口关闭,桌面进程就会重启
病毒样本:explorer.rar
病毒图片:<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
机器狗***继续疯狂传播,四处肆虐。它采用驱动级技术代码写成,破坏力远超熊猫烧香。一旦中了机器狗***,电脑就会被远程控制,危害极大。
不仅如此,中招的用户电脑还会被远程控制,成为彻底的“肉鸡”。这些“肉鸡”能够联合起来向其他电脑进行***。因此,有效杜绝机器狗***四代的传播渠道,不仅是保护用户自己电脑的安全,同时也是对其他用户电脑进行保护。局域网中一旦有一台电脑中招,就有可能导致整个网络瘫痪。
机器狗病毒其实就是一种***下载器,该下载器通过名为PCIHDD.SYS驱动程序文件进行与DF的硬盘控制权的争夺,并修改userinit.exe文件。实现彻底的隐蔽开机启动。目前的临时解决方案:一是封IP 58.221.254.103,二是在c:windowssystem32drivers下建立免疫文件: pcihdd.sys 。更为可怕的是机器狗病毒对还原精灵有一定的穿透能力,所以想通过还原精灵解决中毒计算机往往是办不到的
另外机器狗病毒专杀工具RavMonE Killer是目前唯一一款可以查杀所有机器狗病毒及其变种病毒的工具,实现检测和清除、修复感染机器狗病毒的磁盘和文件,对机器狗病毒的未知变种具备侦测和处理能力,可以处理目前所有的机器狗病毒家族和相关变种。注意在清除时一定要先打上机器狗免疫补丁补丁结束病毒进程的运行,否则病毒将无法清除。

转载于:https://blog.51cto.com/windows/83866

机器狗病毒特征与防治相关推荐

  1. 新版“机器狗”病毒详细分析资料

    报告名称:新版"机器狗"病毒详细分析资料(全部资料的一少部分) 报告类型:病毒原理逆向反汇编分析播报 编写作者:Coderui 编写日期:2008年01月15日 >>& ...

  2. 复合型机器狗病毒的***(lssass.exe)

    from: [url]http://hi.baidu.com/newcenturysun[/url]) 最近机器狗病毒盛行,而***为了进一步增强病毒的破坏能力,在机器狗病毒中加入了很多"新 ...

  3. 机器狗病毒专杀和机器狗病毒样本研究

    转自 "The Savager Blog " , 原文链接:http://www.xiji.org/article.asp?id=420 版权归原作者所有,转载请注明出处! 机器狗 ...

  4. 机器狗病毒的工作原理和判断

    http://article.pchome.net/content-581031.html 机器狗病毒名字由来和工作原理 机器狗病毒名字的由来 2008年春节前后,一个长相若电子宠物狗的程序潜入互联网 ...

  5. 一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐

    一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐 日前,一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐. 中科蓝光为了验证机器狗病毒的破坏性及是否对蓝光保护卡产品有威胁,组织了多次感 ...

  6. 机器狗病毒 161端口漏洞 snmp***思路

    机器狗的生前身后   曾经有很多人说有穿透还原卡.冰点的病毒,但是在各个论坛都没有样本证据,直到2007年8月29日终于有人在社区里贴出了一个样本.这个病毒没有名字,图标是SONY的机器狗阿宝,就像前 ...

  7. 机器狗”病毒驱动部分逆向分析注释(C代码)

    软件名称]: 机器狗(病毒) [下载地址]: http://www.dream2fly.net/ 或 自己搜索下载 [加壳方式]: 未知壳 [编写语言]: MASM(我也不太懂这个,学好这个就可以编自 ...

  8. MSN、易趣、大旗被挂马 用户浏览后感染机器狗病毒

    据瑞星"云安全"系统监测,4月22日,"MSN中国读报频道(与方正阿帕比合建)"."大旗网"."易趣品质网购店"等被黑客 ...

  9. 变种机器狗木马病毒防范

    近期变种机器狗木马病毒猖獗,此病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法*还原抵挡.目前已知的所有还原产品,都无法防止这种病毒的穿透感 ...

最新文章

  1. 大数据工作的正确打开姿势
  2. 特变电工新能源打造绿色数据中心:综合能效提升18%以上
  3. fancy approach for making your code listed used for short essays, no need for listing in outline
  4. docker 容器保存为镜像_Docker容器和镜像操作
  5. oracle10g异常日志查看
  6. 《Linux命令行与shell脚本编程大全 第3版》Linux命令行---55
  7. string类有可以调换方向的函数吗_深度剖析C++中的inline函数
  8. Android蓝牙4.0的数据通讯
  9. 传统金融为什么要做AI?平安保险CEO解读行业痛点
  10. DataAdapter对象填充数据集
  11. testbench实例 vhdl_FPGA仿真 test bench实例(VHDL)
  12. Bootstrap可视化布局系统需要引入的静态资源
  13. Java 简单的摇骰子游戏:案例
  14. 统计一TXT文档中单词出现频率,输出频率最高的10个单词
  15. 给Docker NodeRed 设置登陆账户
  16. html5 safari浏览器 全屏显示 隐藏工具条,HTML5全屏API不IPhone SE Safari浏览器工作,也...
  17. elasticsearch的master选举
  18. 《视觉slam十四讲》初学小白笔记(10)
  19. 西门子的统一通信解决之道
  20. 十六进制字符串转十进制数字

热门文章

  1. 常平竹升面加盟店需要多少钱?
  2. 设计模式-静态代理和动态代理
  3. git 把代码同步到另外的分支
  4. 华中师范大学计算机学院电子信息导师,华中师范大学计算机学院导师简介-姚华雄...
  5. linux如何安装su软件下载,Linux环境软件安装
  6. 健身房如何提高竞争力?
  7. 【论文精读】Rich Feature Hierarchies for Accurate Object Detection and Semantic Segmentation(R-CNN)
  8. 行星狩猎”,AI已经出手
  9. python词云模糊_用Python和WordCloud绘制词云(内附让字体清晰的秘笈)
  10. 常见中文乱码问题以及解决方案(web版)