金山毒霸反病毒专家李铁军表示,病毒进入系统后,以极快的速度修改系统注册表,对大量的杀毒软件和安全辅助软件实施印象劫持,造成它们失效。对于那些不需经过注册表就能使用的绿色安全产品,病毒也采取监视系统进程的方式来阻止其运行。由于病毒的“黑名单”极为庞大,几乎目前所有的杀毒软件及安全辅助软件都会“牺牲”。
李铁军分析指出,病毒顺利潜入用户系统后,在系统盘中释放出两个病毒文件,分别为%WINDOWS%\system32\目录下的winsrv32.dll,以及%WINDOWS%\system32\\drivers\目录下的ati32srv.sys。其中的ati32srv.sys特别值得注意,因为病毒会将它的相关数据写入注册表,恢复系统的SSDT表,这样就可能导致杀毒软件的“主动防御”和“自我保护”功能失效。完成以上步骤后,病毒悄然连接多个由木马种植者指定的网址,获取最新的病毒下载列表,然后根据列表上的地址去下载大量其它木马至用户计算机运行,引发更多无法估计的系统安全问题。
后者病毒运行后,在系统中展开全面监视程序,记录下用户使用outlook和foxmail所有发出邮件的时间、用户名、密码、邮件服务器等信息。并记录QQ、ICQ、MSN等即时通讯工具的帐号,密码。还记录用户使用IE浏览器时,输入的所有含TEXT和PASSWORD字样的内容,并将这些偷来的信息全部发送到木马种植者指定的地址。更令人发指的是,它甚至会在系统最近打开的文档中搜索doc、txt、pdf等格式的文件,将它们也上传给木马种植者。病毒还相当狡猾,它在上传赃物的过程中,如果嗅探到有网络监控进程,就会暂停上传工作,等2分钟后再次检测。这样一来,监控程序就不容易发现它了。
金山毒霸反病毒专家特别指出,“机器狗”针对还原系统进行穿透破解的木马多见于网吧等公共场所的电脑,用户操作公用电脑时需提高警惕。建议使用杀毒U盘或下载金山清理专家等支持绿色的安全辅助软件装在U盘里随身携带,以便在公用电脑上进行查杀。对付“机器狗”下载的盗号木马,可将游戏、网银、聊天帐号置于金山密保的保护下。同时开启杀毒软件的自动更新功能,保持对最新病毒的防御能力;开启防火墙,并且留意防火墙拦截提示,检查外挂程序的安全性;登录网游账号、网络银行账户时采用软键盘输入账号及密码。
根据本周病毒传播特点,金山毒霸反病毒应急中心及时升级了病毒库,并推出了最新机器狗专杀工具(http://www.duba.net/zhuansha/259.shtml)。用户升级毒霸到2008年3月10日的病毒库即可查以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵,拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。
