機(jī)器狗

“機(jī)器狗”病毒是2007年8月網(wǎng)民在網(wǎng)絡(luò)社區(qū)發(fā)布的病毒樣本。這種病毒沒有名字，它被命名為“機(jī)器狗”，因?yàn)樗膱D標(biāo)類似于索尼制造的機(jī)器狗。

“機(jī)器狗”病毒搶占磁盤讀寫權(quán)限后，會(huì)覆蓋硬盤中存儲(chǔ)的正常文件的物理地址來編寫相應(yīng)的惡意代碼，既能達(dá)到穿透還原卡的目的，又能穿透殺毒軟件的文件監(jiān)控和保護(hù)。“機(jī)器狗”病毒是代理特洛伊系列病毒的變種，本質(zhì)上是特洛伊下載器。電腦受到攻擊后，會(huì)自動(dòng)從網(wǎng)絡(luò)下載木馬、病毒、惡意軟件和插件，竊取用戶的隱私信息，甚至造成系統(tǒng)癱瘓。

根據(jù)金山公司發(fā)布的《2008年上半年中國(guó)計(jì)算機(jī)病毒流行與互聯(lián)網(wǎng)安全報(bào)告》，“機(jī)器狗”病毒因其攻擊時(shí)間長(zhǎng)、影響范圍大而成為2008年的病毒之王。該病毒是2008年第一個(gè)使反病毒公司啟動(dòng)紅色警報(bào)的病毒。

2007年8月29日，一個(gè)病毒樣本出現(xiàn)在網(wǎng)絡(luò)社區(qū)中。這種病毒沒有名字。由于圖標(biāo)酷似索尼制造的機(jī)器狗，因此被稱為“機(jī)器狗”病毒。

2007年11月22日，一家網(wǎng)吧的老板向姜敏的反病毒工程師報(bào)告說，他的網(wǎng)吧出現(xiàn)了一種奇怪的病毒。網(wǎng)吧的電腦安裝了硬盤保護(hù)卡，重啟后系統(tǒng)會(huì)自動(dòng)恢復(fù)，但硬盤保護(hù)卡突然失效，系統(tǒng)文件中出現(xiàn)小狗圖案，也很慢。此外，網(wǎng)絡(luò)游戲玩家在網(wǎng)吧失去了他們的游戲帳戶。與此同時(shí)，許多網(wǎng)吧業(yè)主向姜敏病毒中心求助，聲稱他們受到了新病毒的攻擊。提取病毒樣本后，反病毒專家認(rèn)為該網(wǎng)吧是一種名叫“機(jī)器狗”的新型特洛伊。在ARP病毒的幫助下，該特洛伊可以突破“冰點(diǎn)還原”等系統(tǒng)還原軟件和一些常見的硬盤保護(hù)卡，使系統(tǒng)還原保護(hù)無效。該病毒在突破硬盤保護(hù)卡后，會(huì)下載多個(gè)惡性網(wǎng)絡(luò)游戲木馬并盜取常見網(wǎng)絡(luò)游戲的賬號(hào)和密碼，導(dǎo)致用戶遭受巨大損失。

2008年3月，金山毒霸全球反病毒監(jiān)控中心發(fā)布了最新的緊急病毒警告，稱“機(jī)器狗”的新變種正在大規(guī)模爆發(fā)。與之前的“機(jī)器狗”變種不同，這種新變種的破壞力更強(qiáng)。當(dāng)用戶在感染后啟動(dòng)系統(tǒng)并輸入密碼時(shí)，將會(huì)反復(fù)注銷。各種殺毒軟件無法正常使用，尤其是在一些網(wǎng)吧和學(xué)校機(jī)房。即使系統(tǒng)恢復(fù)了，“機(jī)器狗”編寫的驅(qū)動(dòng)程序文件也無法刪除。金山毒霸反病毒專家李鐵軍表示，最近發(fā)現(xiàn)“機(jī)器狗病毒”異常活躍。該病毒被網(wǎng)民命名為“機(jī)器狗”，因?yàn)樽畛醯陌姹臼褂秒娮庸返恼掌鳛閳D標(biāo)，其品種多種多樣，大多顯示殺毒軟件無法正常運(yùn)行。新變種病毒通過特殊技術(shù)直接重寫系統(tǒng)文件，在系統(tǒng)還原卡驅(qū)動(dòng)程序之前加載病毒驅(qū)動(dòng)程序。

2008年8月，根據(jù)金山公司發(fā)布的《2008年上半年中國(guó)計(jì)算機(jī)病毒流行與網(wǎng)絡(luò)安全報(bào)告》，“機(jī)器狗”病毒因其攻擊時(shí)間長(zhǎng)、影響范圍大而成為“病毒之王”。甚至杭州汪順信息技術(shù)有限公司也宣布懸賞50萬(wàn)元捉拿該病毒的元兇。與此同時(shí)，在杭州，一個(gè)由熱心網(wǎng)友組成的“捕狗隊(duì)”活躍在網(wǎng)絡(luò)上，并通過QQ與MSN聯(lián)系，以控制病毒“機(jī)器狗”。

“機(jī)器狗”病毒是代理特洛伊系列病毒的變種，本質(zhì)上是特洛伊下載器。主要攻擊網(wǎng)吧、學(xué)校機(jī)房等一些公共局域網(wǎng)，通過“拿刀殺人”的方式危害計(jì)算機(jī)。電腦被攻擊后，會(huì)自動(dòng)從網(wǎng)絡(luò)下載木馬、病毒、惡意軟件和插件，竊取用戶的隱私信息。最初，計(jì)算機(jī)被病毒感染后會(huì)生成一個(gè)“機(jī)器狗”的圖標(biāo)，因此得名。

“機(jī)器狗”病毒運(yùn)行后，會(huì)將一個(gè)名為“pcihdd.sys”的低級(jí)硬盤驅(qū)動(dòng)器文件釋放到“drivers”目錄中，通過提高優(yōu)先級(jí)來替換還原卡的硬盤驅(qū)動(dòng)器，操作真實(shí)磁盤I/O端口，并在真實(shí)磁盤上執(zhí)行修改和覆蓋、“userinit.exe”或“ctfmon.exe”、“conime.exe”和“explorer.exe”目標(biāo)文件操作，從而達(dá)到徹底性。也就是說，“機(jī)器狗”病毒在獲得磁盤的讀寫操作權(quán)限后，通過覆蓋硬盤中存儲(chǔ)的那些正常文件的物理地址來編寫相應(yīng)的惡意代碼，不僅可以達(dá)到穿透還原卡的目的，還可以穿透殺毒軟件的文件監(jiān)控和保護(hù)。

“機(jī)器狗”病毒沒有破壞硬盤保護(hù)卡驅(qū)動(dòng)文件。雖然許多其他惡意程序在“機(jī)器狗”病毒運(yùn)行后被下載并安裝，但它們將在重新啟動(dòng)計(jì)算機(jī)后由硬盤保護(hù)卡恢復(fù)，但被修改和覆蓋的真實(shí)磁盤文件不會(huì)恢復(fù)。系統(tǒng)中的userinit.exe文件可以判斷計(jì)算機(jī)是否感染了“機(jī)器狗”病毒。該文件位于系統(tǒng)目錄的system32文件夾中。如果在文件的屬性窗口中看不到文件的版本標(biāo)簽，則意味著計(jì)算機(jī)已經(jīng)感染了“機(jī)器狗”病毒。

破壞計(jì)算機(jī)系統(tǒng):進(jìn)入系統(tǒng)后修改注冊(cè)表，使幾乎所有安全軟件都無法正常使用，導(dǎo)致系統(tǒng)癱瘓。

泄露個(gè)人隱私:在用戶不知情的情況下連接網(wǎng)絡(luò)，自動(dòng)下載用戶電腦中的大量木馬、病毒、惡意軟件、插件等。這些特洛伊病毒可以竊取用戶的賬戶密碼、私人文件和其他私人信息。

破壞局域網(wǎng):通過第三方軟件漏洞、下載u盤病毒和ARP攻擊病毒瘋狂傳播，導(dǎo)致整個(gè)局域網(wǎng)癱瘓。

銷毀文件:在真實(shí)磁盤上用惡意代碼修改和覆蓋目標(biāo)文件，這樣修改和覆蓋的真實(shí)磁盤文件將無法恢復(fù)。系統(tǒng)重啟后，安裝運(yùn)行前的惡意程序會(huì)再次下載，導(dǎo)致系統(tǒng)運(yùn)行緩慢甚至癱瘓。

該病毒主要針對(duì)網(wǎng)吧。網(wǎng)吧的電腦一般都配有硬盤還原卡，重啟電腦后系統(tǒng)會(huì)自動(dòng)恢復(fù)到初始狀態(tài)。普通病毒無法生存，但機(jī)器狗病毒可以突破“冰點(diǎn)還原”等系統(tǒng)還原軟件和一些常見的硬盤保護(hù)卡，私自下載特洛伊馬軟件，竊取玩家的游戲賬號(hào)和密碼。由于“機(jī)器狗”病毒的不斷升級(jí)和變異，感染后的癥狀也不盡相同。例如:登錄系統(tǒng)后立即注銷，任務(wù)欄輸入法消失；啟動(dòng)后桌面丟失，explorer.exe進(jìn)程無法啟動(dòng)；開機(jī)時(shí)出現(xiàn)藍(lán)屏，無法登錄系統(tǒng)；當(dāng)您打開“我的電腦”或IE時(shí)，如果只有一個(gè)窗口打開，請(qǐng)關(guān)閉打開的窗口，桌面進(jìn)程將重新啟動(dòng)。

局域網(wǎng)傳播:通過ARP欺騙在局域網(wǎng)中傳播。

漏洞傳播:利用IE插件的系統(tǒng)漏洞和緩沖區(qū)溢出漏洞，特別是網(wǎng)頁(yè)木馬的常見漏洞MS06-014和MS07-017進(jìn)行傳播。

掛馬傳播:利用應(yīng)用軟件漏洞傳播病毒，比如一些聊天工具漏洞、播放器軟件漏洞、網(wǎng)絡(luò)電視軟件漏洞、游戲軟件漏洞，甚至一些常用的下載工具漏洞都會(huì)成為病毒的傳播途徑。

設(shè)備傳播:通過使用u盤等移動(dòng)存儲(chǔ)設(shè)備傳播。

“機(jī)器狗病毒”事件在大眾媒體上引起了廣泛討論，新華社、解放日?qǐng)?bào)、青年報(bào)和北京晨報(bào)等中國(guó)主流媒體都報(bào)道了這一事件。

機(jī)器狗

金山發(fā)布的《2008年上半年中國(guó)計(jì)算機(jī)病毒流行與網(wǎng)絡(luò)安全報(bào)告》顯示，機(jī)器狗病毒因其極高的危害性和傳播速度而成為“2008年病毒之王”，截至2008年8月5日，累計(jì)造成至少80億元人民幣的經(jīng)濟(jì)損失。杭州汪順科技發(fā)布“機(jī)器狗通緝令”，懸賞50萬(wàn)元尋找“機(jī)器狗”病毒的制造者，這是2008年企業(yè)發(fā)出的最高病毒通緝令。

2008年，杭州組織了一個(gè)“捕狗隊(duì)”來追蹤病毒的作者。截至2008年9月17日，最大的“捕狗者”在WebTech論壇中有500名成員，其中大多數(shù)是WebTech的技術(shù)人員、經(jīng)理和網(wǎng)吧經(jīng)理。他們活躍在網(wǎng)絡(luò)中，并通過QQ與MSN聯(lián)系以控制互聯(lián)網(wǎng)上的病毒“機(jī)器狗”。但“機(jī)器狗”的背后也是一個(gè)龐大的團(tuán)隊(duì)，利用病毒黑客攻擊來達(dá)到賺錢的目的。