“机器狗”盗号木马病毒频袭网吧电脑

Tag:机器狗病毒专杀   机器狗病毒样本   机器狗病毒补丁   机器狗病毒下载   机器狗病毒症状 机器狗病毒免疫   机器狗病毒网站   机器狗病毒专杀工具   机器狗病毒免疫补丁

新木马病毒“机器狗”突袭网吧

“我们网吧出现了一种奇怪的病毒，原来电脑重启后因为安装了硬盘保护卡，系统会自动还原，现在硬盘保护卡不管用了，系统文件里出现了一个小狗的图案，运行也很慢，”昨日，不少网吧业主纷纷向江民病毒中心求助，称遭遇到新病毒侵袭，“已经有网络游戏玩家说在我们网吧丢了游戏账号，要向我们索赔了。”

　　江民反病毒专家经过分析后认为，网吧中的是一种名为“机器狗”的新型木马，该病毒可突破系统还原软件和一些常见的硬盘保护卡，利用系统漏洞和多个应用软件漏洞，从恶意网址下载多款网游木马，盗取包括传奇、魔兽世界、征途、奇迹等多款网游账号和密码，严重威胁游戏玩家数字财产的安全。

　　江民反病毒专家指出，“机器狗”病毒对局域网的杀伤性极强，但由于网吧的特殊性，许多网吧业主并不安装杀毒软件，而是普遍安装硬盘还原卡，通过还原系统来保护系统安全。由于安装了硬盘还原卡后的电脑，无论玩家在电脑上进行了何种操作，重启电脑后都可以自动恢复到初始状态。“病毒正是抓住了网吧业主的这种心理，从而使网络游戏玩家以及网吧业主遭受巨大损失”。

　　针对该病毒，江民反病毒专家建议广大用户及时升级杀毒软件病毒库，补齐系统漏洞，上网时确保打开“网页监控”、“邮件监控”功能；禁用系统的自动播放功能，防止病毒从U盘、MP3、移动硬盘等移动存储设备进入到计算机；登录网游账号、网络银行账户时采用软键盘输入账号及密码

机器狗木马病毒特点（附病毒样本+源码）：

文件名为explorer.exe，图标为一只机器狗!

只要中毒那么就会修改userinit.exe文件。而且这个文件的大小和时间都不会变，唯一改变的就是文件内容，所以如果想知道是不是穿透了必须对比感染前后的userinit.exe的文件内容，才能对比出来。

并且此文件会实现彻底的隐蔽开机启动。也就是说这病毒成功能成功穿透冰点，还原精灵，小哨兵等主流还原软件还原卡，危害极大,经过对样本的分析和测试，DF6.0、DF6.1、DF6.2及以前版本均被成功穿透。

机器狗木马病毒发作特征：

1，有的机器，开机以后，自动弹出 我的文档 ，自动弹一些网站，同时该机无法访问internet。有时候能上QQ ，但不能访问WWW网站。严重的网卡 收到 流量是0，局与网都无法访问。系统进程表面看正常！
2，有的机器，刚开机马上用工具察看进程，发现启动过程中 有个进程名字叫userini.exe一闪而过，然后这台机器无法上网，无法访问WWW网站。但只要把这台机器网线拔掉再插上，就马上能访问互联网了！不用重起。 重起之后故障仍旧！ 系统进程表面看正常！
3，有的机器，就很明显了，开机以后网络不通，察看进程里有IGM.EXE 进程，还有其他进程！

机器狗木马病毒的攻击性：

       此病毒采用hook系统的磁盘设备栈来达到穿透目的的，危害极大，可穿透目前技术条件下的任何软件硬件还原！基本无法靠还原抵挡。目前已知的所有还原产品，都无法防止这种病毒的穿透感染和传播。
  
       顺便说一句，这个病毒从技术上来说，可以大胆的猜测应该是还原业内人士开发研制的，这种技术的应用极为少见，且如果精通这种技术的高手要做病毒不会用这种hook系统的磁盘设备栈的方式，完全可以有更强更好的方式达到彻底毁灭还原行业的方法；所以这个病毒应该是针对现在99％还原产品做的病毒，以达到不可告人的目标；在此我们强烈谴责那些毫无技术道德的卑鄙团队和个人，给还原和网吧行业带来极大的灾难和痛苦，真心希望以后不要再发生这样类似的事情了。

       很遗憾的告诉大家，目前已知的还原软件和还原卡包括我们的还原也无法抵抗这种还原的穿透。我们已经测试过冰点全系列，还原精灵。各类还原卡，以及其他网吧行业软件自带的还原，都无法防止这种病毒的感染。根据我们对这个病毒源码的分析来看，网吧可能即将面临病毒、盗号的高峰；恐怕目前大家最好做好最坏的思想准备吧！

IGM病毒和机器狗病毒的查杀（原创）>>