机器狗
“机器狗”病毒是2007年8月网民在网络社区发布的病毒样本。这种病毒没有名字,它被命名为“机器狗”,因为它的图标类似于索尼制造的机器狗。
“机器狗”病毒抢占磁盘读写权限后,会覆盖硬盘中存储的正常文件的物理地址来编写相应的恶意代码,既能达到穿透还原卡的目的,又能穿透杀毒软件的文件监控和保护。“机器狗”病毒是代理特洛伊系列病毒的变种,本质上是特洛伊下载器。电脑受到攻击后,会自动从网络下载木马、病毒、恶意软件和插件,窃取用户的隐私信息,甚至造成系统瘫痪。
根据金山公司发布的《2008年上半年中国计算机病毒流行与互联网安全报告》,“机器狗”病毒因其攻击时间长、影响范围大而成为2008年的病毒之王。该病毒是2008年第一个使反病毒公司启动红色警报的病毒。
爆发过程
2007年8月29日,一个病毒样本出现在网络社区中。这种病毒没有名字。由于图标酷似索尼制造的机器狗,因此被称为“机器狗”病毒。
2007年11月22日,一家网吧的老板向姜敏的反病毒工程师报告说,他的网吧出现了一种奇怪的病毒。网吧的电脑安装了硬盘保护卡,重启后系统会自动恢复,但硬盘保护卡突然失效,系统文件中出现小狗图案,也很慢。此外,网络游戏玩家在网吧失去了他们的游戏帐户。与此同时,许多网吧业主向姜敏病毒中心求助,声称他们受到了新病毒的攻击。提取病毒样本后,反病毒专家认为该网吧是一种名叫“机器狗”的新型特洛伊。在ARP病毒的帮助下,该特洛伊可以突破“冰点还原”等系统还原软件和一些常见的硬盘保护卡,使系统还原保护无效。该病毒在突破硬盘保护卡后,会下载多个恶性网络游戏木马并盗取常见网络游戏的账号和密码,导致用户遭受巨大损失。
2008年3月,金山毒霸全球反病毒监控中心发布了最新的紧急病毒警告,称“机器狗”的新变种正在大规模爆发。与之前的“机器狗”变种不同,这种新变种的破坏力更强。当用户在感染后启动系统并输入密码时,将会反复注销。各种杀毒软件无法正常使用,尤其是在一些网吧和学校机房。即使系统恢复了,“机器狗”编写的驱动程序文件也无法删除。金山毒霸反病毒专家李铁军表示,最近发现“机器狗病毒”异常活跃。该病毒被网民命名为“机器狗”,因为最初的版本使用电子狗的照片作为图标,其品种多种多样,大多显示杀毒软件无法正常运行。新变种病毒通过特殊技术直接重写系统文件,在系统还原卡驱动程序之前加载病毒驱动程序。
2008年8月,根据金山公司发布的《2008年上半年中国计算机病毒流行与网络安全报告》,“机器狗”病毒因其攻击时间长、影响范围大而成为“病毒之王”。甚至杭州汪顺信息技术有限公司也宣布悬赏50万元捉拿该病毒的元凶。与此同时,在杭州,一个由热心网友组成的“捕狗队”活跃在网络上,并通过QQ与MSN联系,以控制病毒“机器狗”。
病毒介绍
“机器狗”病毒是代理特洛伊系列病毒的变种,本质上是特洛伊下载器。主要攻击网吧、学校机房等一些公共局域网,通过“拿刀杀人”的方式危害计算机。电脑被攻击后,会自动从网络下载木马、病毒、恶意软件和插件,窃取用户的隐私信息。最初,计算机被病毒感染后会生成一个“机器狗”的图标,因此得名。
“机器狗”病毒运行后,会将一个名为“pcihdd.sys”的低级硬盘驱动器文件释放到“drivers”目录中,通过提高优先级来替换还原卡的硬盘驱动器,操作真实磁盘I/O端口,并在真实磁盘上执行修改和覆盖、“userinit.exe”或“ctfmon.exe”、“conime.exe”和“explorer.exe”目标文件操作,从而达到彻底性。也就是说,“机器狗”病毒在获得磁盘的读写操作权限后,通过覆盖硬盘中存储的那些正常文件的物理地址来编写相应的恶意代码,不仅可以达到穿透还原卡的目的,还可以穿透杀毒软件的文件监控和保护。
“机器狗”病毒没有破坏硬盘保护卡驱动文件。虽然许多其他恶意程序在“机器狗”病毒运行后被下载并安装,但它们将在重新启动计算机后由硬盘保护卡恢复,但被修改和覆盖的真实磁盘文件不会恢复。系统中的userinit.exe文件可以判断计算机是否感染了“机器狗”病毒。该文件位于系统目录的system32文件夹中。如果在文件的属性窗口中看不到文件的版本标签,则意味着计算机已经感染了“机器狗”病毒。
病毒危害
破坏计算机系统:进入系统后修改注册表,使几乎所有安全软件都无法正常使用,导致系统瘫痪。
泄露个人隐私:在用户不知情的情况下连接网络,自动下载用户电脑中的大量木马、病毒、恶意软件、插件等。这些特洛伊病毒可以窃取用户的账户密码、私人文件和其他私人信息。
破坏局域网:通过第三方软件漏洞、下载u盘病毒和ARP攻击病毒疯狂传播,导致整个局域网瘫痪。
销毁文件:在真实磁盘上用恶意代码修改和覆盖目标文件,这样修改和覆盖的真实磁盘文件将无法恢复。系统重启后,安装运行前的恶意程序会再次下载,导致系统运行缓慢甚至瘫痪。
中毒症状
该病毒主要针对网吧。网吧的电脑一般都配有硬盘还原卡,重启电脑后系统会自动恢复到初始状态。普通病毒无法生存,但机器狗病毒可以突破“冰点还原”等系统还原软件和一些常见的硬盘保护卡,私自下载特洛伊马软件,窃取玩家的游戏账号和密码。由于“机器狗”病毒的不断升级和变异,感染后的症状也不尽相同。例如:登录系统后立即注销,任务栏输入法消失;启动后桌面丢失,explorer.exe进程无法启动;开机时出现蓝屏,无法登录系统;当您打开“我的电脑”或IE时,如果只有一个窗口打开,请关闭打开的窗口,桌面进程将重新启动。
通信形式
局域网传播:通过ARP欺骗在局域网中传播。
漏洞传播:利用IE插件的系统漏洞和缓冲区溢出漏洞,特别是网页木马的常见漏洞MS06-014和MS07-017进行传播。
挂马传播:利用应用软件漏洞传播病毒,比如一些聊天工具漏洞、播放器软件漏洞、网络电视软件漏洞、游戏软件漏洞,甚至一些常用的下载工具漏洞都会成为病毒的传播途径。
设备传播:通过使用u盘等移动存储设备传播。
相依事件
“机器狗病毒”事件在大众媒体上引起了广泛讨论,新华社、解放日报、青年报和北京晨报等中国主流媒体都报道了这一事件。
金山发布的《2008年上半年中国计算机病毒流行与网络安全报告》显示,机器狗病毒因其极高的危害性和传播速度而成为“2008年病毒之王”,截至2008年8月5日,累计造成至少80亿元人民币的经济损失。杭州汪顺科技发布“机器狗通缉令”,悬赏50万元寻找“机器狗”病毒的制造者,这是2008年企业发出的最高病毒通缉令。
2008年,杭州组织了一个“捕狗队”来追踪病毒的作者。截至2008年9月17日,最大的“捕狗者”在WebTech论坛中有500名成员,其中大多数是WebTech的技术人员、经理和网吧经理。他们活跃在网络中,并通过QQ与MSN联系以控制互联网上的病毒“机器狗”。但“机器狗”的背后也是一个庞大的团队,利用病毒黑客攻击来达到赚钱的目的。