Trojan/DogArp.a“机器狗”变种a是“机器狗”木马家族的最新成员之一，采用MASM32/TASM32编写，并经过加壳处理，病毒程序图标为“机器狗”。“机器狗”变种a运行后，在被感染计算机系统盘的指定目录下创建一个恶意程序“userinit.exe”并调用运行（“userinit.exe”是微软操作系统启动时需要用到的程序，用户计算机一旦感染“机器狗”变种a，该木马就会覆盖“userinit.exe”这个文件）。该恶意程序在被感染计算机的后台连接骇客指定站点，获取其它恶意程序的下载列表，在被感染计算机上下载大量恶意程序并自动调用运行。修改注册表，实现木马开机自动运行。在被感染计算机的%SystemRoot%\System32\drivers目录下释放一个名为“pcihdd.sys”的恶意驱动文件，该文件可创建磁盘IO接口，自动识别系统盘格式，直接读写硬盘；具有绕过“冰点还原精灵”、“影子系统”等系统保护软件的功能，致使“冰点还原系统”和“影子系统”失效，把病毒植入真实的系统中保存运行。另外，“pcihdd.sys”执行安装完毕后，“机器狗”变种a会自动卸载并删除该恶意驱动文件。

病毒名称：Trojan/PSW.OnLineGames.mdu
中 文 名：“网游窃贼”变种mdu
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003

    Trojan/PSW.OnLineGames.mdu“网游窃贼”变种mdu是一个盗号木马程序，在后台秘密监视用户打开的程序窗口标题，盗取网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。

BEAREYES.COM

    二、 防范方法

    现在网吧里泛滥igm.exe,它跟九月份的机器狗病毒一样，下面的文章也许对大家有益。

　　前几天给一家网吧装系统回来,打开电脑就发现了这个机器狗病毒,试了一下,我的冰点6.3单机版穿了,心里一凉,好厉害的东西,不过太累了,还是先睡觉.第二天就发现有人把免疫的补丁做出来了,呵呵,试了一下,还蛮实用的,要谢谢那些做补丁的人.

　　同时也想,如果以后出了变种,然后像熊猫一样到处传播怎么办?

　　软还原(冰点类,网维大师类),硬还原(还原卡类),为网吧行业做了很大的贡献,也是病毒作者们最头痛的事,他们一定会利用这种原理大量生产病毒,危害网吧行业.

　　它们为我们保护了系统,那我们拿什么保护他们呢?不让其它的程序和他抢硬盘控制权就行了,但要怎么实现呢?咖啡的策略,和主动防御系统都能做到,但在网吧都不太实用.

　　于是想到以前在公司做网管时的做法,于是做了一下实验,呵呵,自己的设想实现了.

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点