机器狗病毒的总结

总以为装了冰点可以万事大吉，现要大家有活儿干啦！！！
    机器狗病毒，已经成功地进入了系统内核，能让自身抢在冰点前面运行，修改userinit.exe文件，达到加载其他病毒的目的。

    病核核心文件：pcihdd.sys ，位于C:\WINDOWS\system32\drivers\目录下的pcihdd.sys文件。很明显，他已经能系统内核驱动的形式加载了。。该驱动加载后，将修改替换掉c\windows\system32\userinit.exe文件。之后，userinit.exe控制指挥系统疯狂下载N多病毒，加入启动项.....再后.....不说了。。。
免疫方法：
－－－－－－－－－－－
md %systemroot%\system32\drivers\pcihdd.sys

cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n

cacls %systemroot%\system32\userinit.exe /e /p everyone:r


exit－－－－－－－－－－－用W32Dasm可以找到一个网址:
http://1.jopenqq.com/test.cer
哈哈,,千万别点哦,据说是该病毒自动更新的网址.IP正是刚才图片上的:
60.190.203.150
,另外一个IP:60.190.203.154是以后进程要访问的.

生成的其他病毒文件还有：
DbgHlp32.exe
IGM.exe
cmdbcs.exe
vml.exe
swchost.exe
kvdxsfis.exe
attrib.exe
kvsc3.exe
avpsrv.exe