机器狗病毒的工作原理和判断

互联网 | 编辑: 2008-03-12 00:30:00原创 返回原文

机器狗病毒名字由来和工作原理

机器狗病毒名字的由来

2008年春节前后,一个长相若电子宠物狗的程序潜入互联网闯荡江湖。

这个东东可不是什么桌面电子宠物,有人发现了这个宠物,并运行了它。不久,更多的“机器狗”入侵了网民的电脑。在1-2月内,这只“机器狗”成为互联网的明星。网民在倍受“狂犬病”折磨之后,把这个看起来象电子宠物的程序命名为“机器狗”病毒。

其实,其作者一开始不是这么命名的,其开发者团队称其为“破还原卡下载者”,图标可以随意定制。在“机器狗”名声大噪之后,作者索性就用这个名字在产业链做起了广告。为“机器狗”病毒开发了生成器,和互联网上其它软件的运营一样,作者提供了免费版,买家觉得不错,当然会掏钱购买VIP版,可以得到免杀升级服务和更多附加功能。

据金山毒霸反病毒中心分析,这个病毒编写的驱动程序,接管了多种还原卡、还原软件的底层驱动,直接导致中病毒后,各种还原卡、还原软件失效。一般的病毒,装有还原卡的电脑,重启就可以把系统恢复到正常,而“机器狗”却能在这样的系统里长驻。一台电脑重装容易,网吧可是有一堆电脑。可以说最痛恨“机器狗”的,是网吧老板和学校机房网管。

工作原理

机器狗本身会释放出一个pcihdd.sys到drivers目录,pcihdd.sys是一个底层硬盘驱动,提高自己的优先级接替还原卡或冰点的硬盘驱动,然后访问指定的网址,这些网址只要连接就会自动下载大量的病毒与恶意插件。然后修改接管启动管理器,最可怕的是,会通过内部网络传播,一台中招,能引发整个网络的电脑全部自动重启。

重点是,一个病毒,如果以hook方式入侵系统,接替硬盘驱动的方式效率太低了,而且毁坏还原的方式这也不是最好的,还有就是这种技术应用范围非常小,只有还原技术厂商范围内有传播,在这方面国际上也只有中国在用,所以,很可能就是行业内杠。

对于网吧而言,机器狗就是剑指网吧而来,针对所有的还原产品设计,可预见其破坏力很快会超过熊猫烧香。

机器狗判断方法

机器狗病毒判断方法

游戏、QQ帐号莫名其妙被盗了;网速慢地崩溃;电脑通过MSN、QQ等不断向外发出文件……如果有这样的情况,那你就要小心了,可能被狗咬了!

自检方法:打开C:WINDOWSsystem32文件夹 (或打开系统对应目录),找到userinit.exe、explorer.exe点击右键查看文件的属性,若在属性窗口中看不到文件的版本标签则说明该文件已经被病毒替换,你得了“狂犬病‘!

 万幸-我没有中

 

返回原文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑