有图小站

关注电脑网络,记录健康生活。有图小站,价值分享。

当前位置: 首页 > 电脑 > 机器狗病毒

机器狗病毒

今天终于遇到了大名鼎鼎的 机器狗病毒,并且在我工作的好几台工作站都发现了。这个可恶的家伙真的可是穿越防火墙和还原卡,以前只是听说这个病毒,现在真的见到其威力了。

机器狗病毒的说明:好,先说一些简单的症状,大家看看是否和自己的一致,然后决定是否采用我的方法。我们可以在drivers文件夹(WinXP在C:\Windows\system32 或者Win2000在C:\WINNT\system32)下找到pcihdd.sys文件,这是明显的标志之一,很多网上也有这个说明。

症状1、刚刚启动计算机就出现系统很慢,立马看任务管理器(右键桌面下方的任务栏),会看到进程中大于Explorer.exe进程PID数的有好几个可以进程:unserinit.exe 、cmd.exe等(不一定就这两个),如果你比较较熟悉常用进程你会发现Rundll32.exe  Internat.exe也不正常,很快不少的计算机会出现 *.com  、  *.tmp  *host.exe 、  savedump.exe等进程(*是随机变化的我们只看用看我写出来的几个名称样子,相信不少朋友都知道,这不太正常)。

症状2、开机的时候,停留在欢迎界面,但进不了桌面,当我们Ctrl+Alt+Del查看任务管理器的时候,发现没有
Explorer.exe进程,于是“文件”“新任务”“explorer”,桌面看到了,但我们看到任务管理器里的进程开始骤然增加,Explorer.exe进程下面会出现很多进程包括上文提到的userinit.exe,以及其他随机出现的一些进程。

初探 机器狗:其实机器狗并不是一个病毒,而是一个病毒下载器,特别是我们的计算机联网的时候,只要一开机,立马从远端的服务器下载不同的病毒样本,所以说前面所列举的很多带 * 就是因为下载的病毒样本文件名不断的变化。比方说 *.tmp 一般是数字和字母随机组成的比方说 2096.tmp 或者 2e3c.tmp ;*host.exe 可能会是fvfhost.exe或者vvvhost.exe(此处是三个V)。所以在计算机没有软保和硬保的环境下,删除pcihdd.sys,清理系统常用进程userinit.exe和explorer.exe 、 Rundll32.exe 、 ctfmon.exe 、 conime.exe等进程的病毒附着是为根本。但目前的手法好像有一些不是很凑效的,目前这个病毒也在不断升级自己,所以形势很严峻。

我用Antiarp防火墙监控(点击前面链接下载该软件并看使用方法),发现机器狗通常下载有典型的ARP攻击病毒,所以在大型的机房或者网吧要特别注意,因为机器狗可以让你的机房不到二十分钟全部感染,相互攻击,并且拥堵网关,从而很快的就都上不了网了。简直就是网吧和机房的杀手。这么说并非高看了机器狗,因为对于其他的Arp攻击,当我们关闭机房电源,关闭交换机的电源三分钟后,一切就正常了。因为Arp指令的寿命在掉电后不会超过3分钟,而其他的计算机在关闭重新启动后因为还原卡而变得正常。

但机器狗不同,它穿透了防护墙的保护(就像现在有一些病毒将宿主放到了Winxp的系统还原文件中一样),保护对它是没有作用的,但对于其他的如上网记录等还有还原作用。

我的一点点建议:

1、去掉还原保护;

2、下载 机器狗专杀,先查杀,然后免疫(如我们在前面时间保护器中所述,机器狗可能已经注意到专杀工具,所以,如果不能正常使用 将其文件名Killer-rodog.exe修改为任意字符.src或者 .com ,如 0123.src或者setup.com );

3、下载 antiarp防火墙,防堵其他的计算机的Arp攻击,防止自己被重新感染,防止自己掉线;

4、将自己的杀毒软件升级到最新病毒库的状态;

(如果2-4步不能完成,建议使用正常的计算机刻录机器狗专杀、antiarp防火墙,然后通过光盘安装)

5、断网,重新启动到安全模式(F8);

6、清理启动项,注意保留杀毒软件和antiarp的进程不要被禁掉(动用msconfig命令或者regedit中的启动项);

7、使用杀毒软件查杀残留的病毒,结束后重新使用机器狗专杀杀一遍。

8、重新启动计算机。

9、告诉你的网络管理员,你所在的这个网段有ARP攻击,请他告知所有人,注意防护。并请他协助在交换机上做静态MAC地址绑定,简单命令如:ARP -s X.X.X.X Y-Y-Y-Y-Y-Y (其中X是十进制IP地址,Y为两位的十六进制Mac地址) 。(如果管理员一脸茫然或者不知如何是好,你可以让他来看看本文,哈,我在这里臭美一下。当然如果你觉得本文不错,你可以推荐给朋友来看看,本文的地址是 http://www.utosee.com/post/kill-robotdog.html   

下图列出了机器狗专杀的步骤,请尽量按照顺序走:

机器狗专杀

通过以上步骤,我们基本上可以清掉机器狗,如果不行染毒太深,只有重新安装系统了,因为这个时候不但是机器狗病毒的问题了,而是机器狗病毒下载器下载了其他更厉害的病毒,并让你的计算机深度感染。但是安装系统时需要注意:

1、一定要断网安装;

2、建议使用dos命令格式化一次C盘(系统盘);

3、一定不要使用计算机中的任何软件(包括驱动、常用软件),确保不要资源管理器或者我的电脑来看硬盘上的任何内容;

4、所有的驱动程序、杀毒软件尽量使用光盘来安装,所有的操作仅限于光盘和桌面(以下步骤要求一样);

5、在驱动、杀毒安装完毕后,一定要尽快安装Antiarp防火墙,联网之前一定要确保Antiarp正常启用;

6、其他的软件建议有大的软件下载站来安装,如华军、天空等。

续:已经证实Realplay的漏洞助长机器狗的攻击,目前这个漏洞已经扩展至Flashplayer、Quicktime等插件,当然使用这三个插件技术或者核心的如下软件都有同样的漏洞:Realplayer (包括最新的10.6及其以下版本),Flashplayer,Quicktime,暴风影音,PPstream,PPlive,迅雷(官方下载最新的可以修复这个漏洞),联众世界(大厅版本小于2.6的),百度搜霸,Skype,超星阅读器,Adobe Reader,以及瑞星在线杀毒、金山在线杀毒等。

本文是 有图小站 原创,原地址 http://www.utosee.com/post/kill-robotdog.html 转载请保留。





上一篇:U盘写保护
下一篇:realplay病毒




版权所有 有图小站 关注 电脑 网络 软件 健康 豫ICP备12023314号