日前,一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐。此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒,病毒穿透还原软件后将自己保存在系统中,定期从指定的网站下载各种木马程序来截取用户的帐号信息。
最早发布防疫补丁,也是基于pcihdd.sys和userinit.exe文件进行防疫的。但是,随之而来的是,该病毒不断升级,变种一再频发。早期的防疫方法也随之失败。
变种至少经历了以下过程:
1.对userinit.exe文件进行了改进,原先因其没有版本号而易被发觉,升级了增加了版本号,隐蔽性增加
2.对userinit.exe文件进行了加密,以前可以用简单的16进制文本查看器就能找出病毒下载的网址就可以采取措施封杀该病毒,加密后,就没法做到这一点了。另外,程序也进行加壳,体积变小,更易隐藏。
3.不再以userinit.exe文件为主导,反而用它作跳板,同时创建了usrinit.exe文件,下载创建了svchost.exe文件及进程。同时,usrinit.exe文件也透过了还原软件而保存下来。
4.加载的驱动文件名,不再是pcihdd.sys,而是各种不同的名字。网上能找到就有很多。随着变种的出现,相应加载的驱动文件名也不相同。
5.下载的病毒名一再变化,而且一多再多。既包括了各种盗号木马,还加入了局域网攻击的各种arp病毒。
