http://article.pchome.net/content-581031.html
机器狗病毒名字由来和工作原理
机器狗病毒名字的由来
2008年春节前后,一个长相若电子宠物狗的程序潜入互联网闯荡江湖。
这个东东可不是什么桌面电子宠物,有人发现了这个宠物,并运行了它。不久,更多的“机器狗”入侵了网民的电脑。在1-2月内,这只“机器狗”成为互联网的明星。网民在倍受“狂犬病”折磨之后,把这个看起来象电子宠物的程序命名为“机器狗”病毒。
其实,其作者一开始不是这么命名的,其开发者团队称其为“破还原卡下载者”,图标可以随意定制。在“机器狗”名声大噪之后,作者索性就用这个名字在产业链做起了广告。为“机器狗”病毒开发了生成器,和互联网上其它软件的运营一样,作者提供了免费版,买家觉得不错,当然会掏钱购买VIP版,可以得到免杀升级服务和更多附加功能。
据金山毒霸反病毒中心分析,这个病毒释放的驱动程序,接管了多种还原卡、还原软件的底层驱动,直接导致中病毒后,各种还原卡、还原软件失效。一般的病毒,装有还原卡的电脑,重启就可以把系统恢复到正常,而“机器狗”却能在这样的系统里长驻。一台电脑重装容易,网吧可是有一堆电脑。可以说最痛恨“机器狗”的,是网吧老板和学校机房网管。
工作原理
机器狗本身会释放出一个pcihdd.sys到drivers目录,pcihdd.sys是一个底层硬盘驱动,提高自己的优先级接替还原卡或冰点的硬盘驱动,然后访问指定的网址,这些网址只要连接就会自动下载大量的病毒与恶意插件。然后修改接管启动管理器,最可怕的是,会通过内部网络传播,一台中招,能引发整个网络的电脑全部自动重启。
重点是,一个病毒,如果以hook方式入侵系统,接替硬盘驱动的方式效率太低了,而且毁坏还原的方式这也不是最好的,还有就是这种技术应用范围非常小,只有还原技术厂商范围内有传播,在这方面国际上也只有中国在用,所以,很可能就是行业内杠。对于网吧而言,机器狗就是剑指网吧而来,针对所有的还原产品设计,可预见其破坏力很快会超过熊猫烧香。
216
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
