1回顶部 日前,一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐。此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒,病毒穿透还原软件后将自己保存在系统中,定期从指定的网站下载各种木马程序来截取用户的帐号信息,在网吧中泛滥成灾。具体可看相关报导。 作为安全软件一员的影子系统,有些网友说自己的影子系统也给攻破了,也有些网友却说没有这一回事。 而最近影子系统又说明了能防御机器狗。那么,曾经被誉为百毒不侵的影子系统到底能不能防范住机器狗病毒呢?带着网友的疑问,笔者做了一个评测-- 机器狗病毒最新版本 vs 影子系统2008。一场江湖恶战悄悄的展开了。 第一幕:大网张开 旁白:话说"机器狗"大盗带领一众手下,轮番打劫各位上网用户,甚至于练有金钟罩的江湖人士也无法抵挡,一时间民怨四起,而"机器狗"帮众有愈演愈烈的趋势。于是乎官府制定了一个详细的围捕计划。 旁白:此次围捕,官府出动的是年轻的捕快,影子系统2008。该捕快虽然涉足江湖的日子尚短,但凭一身百毒不侵的护体神功而震慑江湖。独门绝技分身术,能幻化出一个与真人一模一样的影子分身,并以分身攻击敌人,分身受损不会影响本体。这次用于对付有着杀人于无形的毒君"机器狗"是否能抵抗毒君的独门绝技"夺命针"呢?要知道曾经威震江湖的大侠"冰"也败于夺命针之下。中"夺命针"针者,如果没有独门解药,不出一日必毒发身亡,令江湖众人闻风丧胆。 图1 影子系统 图2 机器狗最新样本 图3 传说中的分身术 :-) 图4 传说中的夺命针 :-) 2回顶部 旁白:影子得知机器狗将潜入xp家中犯案,于是张开大网,等待鱼儿上钩。 在无毒的环境下,安装System Safety Monitor,以监测系统的进程情况。图3为进入影子系统的单一影子模式下的系统进程详情。图4为未感染机器狗病毒前正常的userinit.exe的md5码 图5 进入单一影子模式 图6 userinit.exe的md5码 第二幕:惨烈的围捕 旁白:一切准备就绪,影子捕快及其手下正埋伏于xp家宅四周。机器狗果然进入了圈套,中了埋伏,但是穷凶极恶的机器狗凭借着"夺命针"有恃无恐带领着手下企图突围而出。在这惨烈的过程围捕中,影子捕快为救一位同僚,不幸中了"夺命针",同时也重创了"机器狗",失去了"机器狗"这个靠山,很快机器狗及其同伙还是被逮捕归案了。 旁白:准备就绪,然后运行最新的机器狗病毒样本,使病毒感染系统(危险勿试),为了使病毒能够感染系统,所以System Safety Monitor的拦截操作一律选择的是允许。过了一会儿,病毒已经完全入侵系统了,userinit.exe被改,并自动联网下载了一堆知名不知名的病毒木马文件下来。 图7 userinit.exe被修改 图8 病毒加载关键性驱动文件 图9 进程里一堆机器狗下载的病毒进程 图10 一堆病毒启动文件 3回顶部 第三幕:绝技分身护英雄 旁白:看着机器狗落入法网,只见中了夺命神的影子捕快在砰的一声中消失了,原来中招的正是影子捕快的拿手绝技"分身术"幻化出来的影子分身。大家都知道不会影子捕快不会有事了,可是为了安全起见,官府还是请来了有妙手回春之誉的赛华佗--妙神医来为影子捕快进行个全身检查,安全第一嘛。 系统已经被机器狗及其自动下载的一堆木马病毒全面入侵了,运起重启大法,进入系统的正常模式,来检测一下,影子系统是否被破。首先检测的是系统进程,对比之前的进程图,没有发现有任何新增进程。 图11 正常模式下进程 接下来检查 userinit.exe 是否已经被破坏。结果发现仍然是正常的文件。 图12 userinit.exe 属性 图12 启动项目 旁白:妙神医仔细的检查了一遍影子捕快的身体,回过头来宣布,影子捕快身体一切正常,没有发现任何中毒现象。顿时围观的群众发出一阵欢呼声,"机器狗"大盗终于败在了影子捕快之手。 |
正在阅读:武林对决:影子系统 vs 机器狗武林对决:影子系统 vs 机器狗
2007-12-07 09:45
出处:PConline原创
责任编辑:zhangxinxin