机器狗穿透还原软件 驱动级病毒崭露头角

用户如果中了病毒，都会采取杀毒软件扫描查杀的方法进行清除，即使无法彻底扫清病毒，还可以使用还原大法，将系统还原。不过最近记者从金山公司获悉，一种驱动级病毒开始兴起，可以穿透系统还原软件，其自身保护能力令大部分用户汗颜。

“机器狗变种11636”（Win32.Troj.Agent.dz.11636），这是一个可以穿透还原软件的病毒。病毒通过直接读写文件簇来绕过一些文件过滤系统的监视，病毒会释放一个驱动来实现还原软件的穿透，并修改系统文件USERINIT.EXE，中毒后每次开机就会下载大量木马到本地运行。

“破天木马151552”（Win32.PSWTroj.OnlineGames.qi.151552），该病毒是网络游戏《破天一剑》的盗号木马。病毒运行后会衍生病毒文件至系统目录下，并注入系统进程，伺机盗取用户的账号和密码等信息，并通过网页提交的方式发送到木马种植者手上。

“机器狗变种11636”（Win32.Troj.Agent.dz.11636） 威胁级别：★★

病毒进入系统后，会释放病毒文件pcihdd.sys到 %WINDOWS%\system32\drivers\目录下，并立刻运行起来。它首先判断用户系统是否正接受着冰点还原软件和硬盘保护卡的保护，如果有，它便解除冰点还原软件和和硬盘保护卡对系统的保护。

然后，病毒展开搜索，看看用户的windows操作系统中是否存在MS06-014和MS07-017等多个漏洞，同时也查看其它应用软件是否存在安全漏洞，如有，它接下来会查看目前的网络链接是否通畅。

只要确定网络链接畅通，病毒就在用户无法知晓的情况下建立远程连接，从http://xx.exiao***.com/ 、http://www.h***.biz/ 、http://www.xqh***.com/ 等木马种植者指定的网址下载大量盗号木马，盗取《传奇》、《魔兽世界》、《征途》、《奇迹》等多款网络游戏的帐号和密码，严重威胁游戏玩家虚拟财产的安全。由于冰点还原软件和硬盘保护卡大多在网吧使用，因此网吧成为该病毒发作的重灾区。

需要注意的是，此病毒运行完成后会删除自身，销毁曾进入过电脑系统的证据，使用户无法理解自己是怎么中的毒。

“破天木马151552”（Win32.PSWTroj.OnlineGames.qi.151552） 威胁级别：★

病毒进入用户的电脑系统后，会在系统盘中释放出两个病毒文件，分别为系统根目录的 %WINDOWS%下的MsPrint32D.exe，以及%WINDOWS%\system32\目录下的MsPrint32D.dll。并修改注册表启动项，将自己的相关信息加入其中，以达到随系统自动启动之目的。完成这个过程后，病毒就会自动删除原文件，避免被用户发现。

当病毒开始运行，它会注入到系统的桌面进程Explorer.exe，以及其它非系统进程当中，不断搜索网络游戏《破天一剑》的进程，一旦发现，就立即建立消息监视，从用户与游戏服务器之间的通信中筛选用户的账号和密码等信息。

如果得手，就在后台建立远程连接，以网页提交的方式把赃物发送到http://den*******.skpay.net.cn/hu111/post.asp这一由木马种植者安排好的网址当中，给用户造成虚拟财产的损失。