说明
该病毒在网吧和其他大型计算机网络中最普遍。通常,在个人计算机上捕获此病毒并不容易。现在,大多数防病毒软件都可以检查并杀死病毒。
计算机病毒
在机器狗死后,许曾经说过,有一种病毒穿透了恢复卡和冰点,但是在各种论坛上都没有样本证据。直到2007年8月29日,终于有人在社区中发布了一个示例。该病毒没有名字。图标是SONY的机器狗Abao。就像前任熊猫烧香一样,每个人都把它叫做机器狗。
工作原理
机器狗本身将向驱动程序目录中释放一个pcihdd.sys。 pcihdd.sys是低级硬盘驱动器。它将增加其优先级,以替换恢复卡或冻结点的硬盘驱动器,然后访问指定的URL。这些URL只需要连接即可自动下载大量病毒和恶意插件。然后修改并接管启动管理器。最可怕的是,它将通过内部网络传播。命中会导致整个网络上的所有计算机自动重新启动。
问题在于,如果病毒通过钩子入侵系统,则更换硬盘驱动器的效率太低,损坏修复的方法也不是最好的,该技术的应用范围很小,在还原技术制造商的范围内只有交流,在这方面,只有中国在国际上使用交流。因此,这很可能是该行业的内部冲突。
对于网吧,机器狗来自网吧。对于所有修复产品的设计,可以预见的是,其破坏力将很快超过熊猫燃烧的香火。幸运的是,现在已经出现了许多免疫补丁,并且自发布之日起,所有主要的防病毒软件都可以被检查并杀死。
免疫补丁之争
目前的免疫补丁是疫苗形式。将它们复制到具有无害样本的驱动程序,以诱使该病毒认为它已经在运行并防止伤害。此表单的问题在于,某些用户出于自身安全原因在计算机上运行某些病毒检查程序(例如360安全卫士)。这样,该疫苗将被误认为是病毒,并且会浪费很多舌头。
解决方案
最新的解决方案是将system32 / drivers目录分别分配给用户,而无需授予管理员修改权限。尽管可以解决此问题,但将来安装驱动程序将是一件令人头疼的事。
要完全清除病毒,请在处理完病毒后重新启动计算机,然后再应用补丁!
或者像这样:
1禁止在组策略中运行注册表,userinit.exe进程
2将批处理添加到启动项目中
A:强制结束userinit.exe进程Taskkill / f / IM userinit.exe(其中“ / IM”参数是进程的映像名称,此命令仅对XP用户有效)
B:强制删除userinit.exe文件DEL / F / A / Q%SystemRoot%\ system32 \ userinit.exe
C:创建对%SystemRoot%\ system32 \
的userinit.exe免疫文件
本文来自本站,转载请注明本文网址:
http://www.pc-fly.com/a/shouji/article-371172-1.html
……