总结：
上边所指的“还原保护程序”为利用磁盘过滤驱动技术编写而成的系统还原保护程序，出名一点的软件有“冰点还原精灵”和“影子系统”等。也就是说，就算用户计算机安装了上边这样的“还原保护程序”，只要是中了“机器狗”一类利用穿“还原保护程序”技术的病毒，就算您重新启动计算机了，但被修改的那个文件 “explorer.exe”也是依然不会被还原的，因为病毒的恶意代码已经覆盖进了这个真实的磁盘文件中。

目前的“机器狗”一类利用穿“还原保护程序”技术的病毒有一个致命的软肋，那就是他们所覆盖的真实系统文件在重新启动计算机后一定要自启动运行，不然就失去病毒存在的意义了。现今的“机器狗”病毒都只是能够穿透磁盘保护的，并穿透不了注册表(无法在注册表中保存添加或修改后的数据信息)，这个就是它最大的缺陷。其实，注册表数据信息也是以文件的形式保存在磁盘中的，下一代“机器狗”病毒可能会实现穿透注册表的功能，等那个时候，可能就很难防范了。这还是不算什么的，下下一代的“机器狗”病毒可能会利用自己的磁盘过滤驱动去感染真实硬盘下的PE文件，相当的恐怖啊！！

一旦感染了该版本的“机器狗”病毒，它不仅仅可以穿透“还原保护程序”，真实系统也一样会中毒。因为病毒修改覆盖了真实的系统文件“C:\windows \explorer.exe”。所以每次重新启动计算机后，被修改覆盖的系统程序“C:\windows\explorer.exe”它都会在被感染计算机的后台连接网络下载骇客事先定义好的下载列表中的全部恶意程序并自动调用运行。那么如果中该病毒的用户比较多，几万台计算机同时启动，骇客的下载服务器会挂掉吗？呵呵~！！
------------------------------------------------------------------------
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>



问提：1、这个最新的机器狗变种，是否与你12月19日发的病毒播报中的机器狗变种是同一个病毒？
回答：不是同一个病毒，只是工作原理十分的相似而已。经过仔细分析它们的工作原理和编码风格后，可以推测出新版本“机器狗”病毒和老版本“机器狗”病毒决定不是出自一个人之手。

问提：2、这个最新的机器狗变种是否功能更强大？强大在那儿？与以往机器狗病毒的不同之处在哪？
回答：应该是相对的强大了些。对比“机器狗”一类新、老版本病毒的部分特征如下：
(1)：新版本“机器狗”病毒采用VC++ 6.0编写，老版本“机器狗”病毒采用汇编编写。
(2)：新版本“机器狗”病毒采用UPX加壳，老版本“机器狗”病毒采用未知壳。
(3)：新版本“机器狗”病毒驱动文件很小(1,536 字节)，老版本“机器狗”病毒驱动文件很大(6,768 字节)。
(4)：新版本“机器狗”病毒安装驱动后没有执行卸载删除操作，老版本“机器狗”病毒安装驱动工作完毕后会卸载删除。
(5)：新版本“机器狗”病毒针对的是系统“conime.exe”、“ctfmon.exe”和“explorer.exe”程序文件，老版本“机器狗”病毒只针对系统“userinit.exe”文件。
(6)：新版本“机器狗”病毒没有对注册表进行操作，老版本“机器狗”病毒有对注册表“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon”项进行操作(感觉该操作没必要，因为重新启动系统后，“还原保护程序”系统会将其还原掉)。
(7)：新版本“机器狗”病毒去到系统dllcache文件夹下调用真实系统文件运行，老版本“机器狗”病毒没有到系统dllcache文件夹下调用真实系统文件运行。
(8)：新版本“机器狗”病毒采用的是控制台程序图标，老版本“机器狗”病毒采用的是黑色机器小狗图案的图标。

问提：3、机器狗病毒对网吧的影响很大，对个人用户的影响有多少？
回答：个人用户的影响与网吧的影响是同样大的。因为不管计算机系统是否安装“还原保护系统”程序，都会同样下载非常多的(目前是下载27个恶意程序)网络游戏盗号木马等恶意程序进行安装运行，从而给被感染计算机用户带去一定的损失。如果“用户计算机硬件配置比较低”或者“存在所下载的多个恶意程序中出现相互不兼容现象”的话，会导致用户计算机系统崩溃掉无法启动运行。

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

手动杀毒方法：

1：结束掉被病毒修改覆盖后的“C:\windows\explorer.exe”程序进程，删除该程序文件。
2：也许系统会自动还原回来一个正常的“explorer.exe”桌面程序，如果没有还原的话，我们可以手动把“C:\windows\system32\dllcache\”下的“explorer.exe”文件拷贝到“C:\windows\”下。
3：手动卸载掉病毒恶意驱动程序“phy.sys”文件。可以在注册表中找到病毒恶意驱动程序“phy.sys”的启动关联位置然后删除，接着再删除掉“C: \windows\system32\DRIVERS\phy.sys”文件。 我实际试过N次这种方法，针对该病毒决定好使。
4：重新启动计算机后，一切就都会变为正常了。但是该新版的“机器狗”病毒会下载27个(不固定)恶意程序到被感染计算机中安装运行，这些病毒可以安装江民公司的KV2008去查杀，效果很不错。

上一页  [1] [2]