硬盘
近期,网络上出现了一种名为机器狗的恶意软件,它利用hook系统磁盘设备栈来实现穿透功能,并对目前技术条件下任何软件和硬件还原系统造成严重威胁。这类病毒无法得到有效抵挡,现有的还原产品也无法阻止其传播和感染。机器狗实际上是一个木马下载器,一旦感染后会自动从网络上下载其他木马或病毒,并危及用户账号的安全。运行时会释放一个名为PCIHDD.SYS的驱动文件,并与还原软件争夺
硬盘控制权。此外,还通过替换userinit.exe文件来实现开机启动。要防止中招,以下几种方法可供参考:1. 注册表和组策略中禁用运行userinit.exe进程。2. 在启动项目中添加批处理命令:A: 使用Taskkill命令强制结束userinit.exe进程(仅适用于Windows XP用户)。B: 使用DEL命令强制删除userinit.exe文件。C: 创建一个免疫文件到%SystemRoot%system32目录下(命令:md %SystemRoot%system32userinit.exe nul 2nul 或 md %SystemRoot%system32 &attrib +s +r +h +a %SystemRoot%system32userinit.exe)。D: 在注册表中添加一个注册表项来禁止调试器访问userinit.exe(reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe" /v debugger /t reg_sz /d debugfile.exe /f)。关于机器狗的发展情况,目前尚未发现新版本。然而,我们仍需保持警惕,因为随着研究的深入,现有防御手段主要针对病毒的工作原理。一旦机器狗更新或稍作修改,就能轻易绕过普遍的防御手段。因此,我们不能高枕无忧。如何识别是否已中机器狗呢关键在于系统目录下的system32文件夹中的Userinit.exe文件。点击该文件属性窗口查看是否显示版本标签即可判断是否
中毒。如果显示版本标签,则说明正常。针对临时解决办法,请参考以下几种方式:1. 在
路由器上封禁特定IP地址:使用ROS脚本,在属性中添加相应规则。2. 在%systemroot%system32drivers目录下建立免疫文件pcihdd.sys。3. 在母盘制作过程中对目标文件进行加壳和替换操作。以上方法仅供参考,希望能对您有所帮助!
