机器狗病毒自2007年首次现身以来,以其强大的穿透能力及广泛的传播范围引起了广泛关注。这种病毒利用hook技术穿透系统还原卡或冰点还原,导致常规的还原操作无法抵御其侵害。它会释放名为PCIHDD.SYS的驱动文件,与还原驱动竞争硬盘控制权,并通过修改userinit.exe实现开机自动运行,进而自动下载并执行恶意软件。
机器狗的工作机制复杂,它不仅会下载和执行木马和病毒,还能通过内部网络迅速传播。一旦一台电脑中招,可能迅速导致整个网络内的机器重启。这种病毒的传播方式和破坏力远超之前的熊猫烧香,尤其针对网吧等公共网络环境。
为了识别机器狗的感染,可以通过检查系统32文件夹中的userinit.exe文件属性。如果该文件没有版本标签,则说明已被病毒感染。针对该病毒,目前已有多种免疫补丁和解决方案。其中一种方法是将system32/drivers目录单独分配给一个用户,并禁止administror修改权限,或通过修改注册表和创建免疫文件来防止病毒运行。
另一种方案是复制无毒的userinit.exe文件并重命名为FUCKIGM.exe,创建userinit.bat批处理文件,内容为启动FUCKIGM.exe。修改注册表将userinit.exe改为userinit.bat。这种方法能有效阻止机器狗的运行。
此外,用户还可以在路由上封IP,或在系统32/drivers下建立免疫文件。针对新变种,可在目录下建立名为pcihdd.sys的文件夹,并设置禁止任何人访问。
随着研究深入,机器狗病毒的防御手段也在不断更新。专家建议用户及时升级杀毒软件,修补系统漏洞,确保网页和邮件监控功能开启,并禁用自动播放功能,避免病毒通过移动存储设备传播。
目前,机器狗病毒的开发似乎已停止,但其潜在威胁并未消减。未来,病毒可能会改变工作原理,逃避现有的防御机制,因此用户需保持警惕并采取措施防范。
针对该病毒,用户可以下载江民机器狗病毒免疫程序进行防护。
