360安全中心负责人傅盛通过监测发现,这种可以穿透各种还原软件与硬件还原卡的病毒可以通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权,并修改用户初始化文件userinit.exe来实现开机启动和隐藏自身的目的。
曾经有很多人说有穿透还原卡、冰点的病毒,但是在各个论坛都没有样本证据,直到2007年8月29日终于有人在社区里贴出了一个样本。这个病毒没有名字,图标是SONY的机器狗阿宝,就像前辈熊猫烧香一样,大家给它起了个名字叫“机器狗”。
其实,“机器狗”本质是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户账号的安全。“作为一个典型的网络架构木马型病毒,此病毒穿透还原软件后将自己保存在系统中,定期从指定的网站下载各种木马程序来截取用户的账号信息。”傅盛补充解释说:“制作机器狗的人主要是想窃取用户的虚拟财产,包括网游账号和装备等。”
目前广泛流传的“机器狗”木马及其变种,均是通过网页挂马的形式入侵,用户在浏览网页时就会不知不觉被植入木马,而这些木马一旦进入用户电脑中,会不断从后台下载更多新的木马,数量甚至高达数百个。
“被利用的网页漏洞多为ActiveX漏洞,只要用户电脑中安装了存在漏洞的软件版本,当用户在浏览网页时,木马将会利用这些漏洞,偷偷植入用户电脑,这些木马进入用户电脑的第一件事就是破坏电脑中安装的杀毒软件等安全工具。”
显然,如果“机器狗”已经植入用户的电脑,并且除掉了杀毒软件的防御功能,那么等待用户的将可能是无止尽的重装操作系统。
