病毒名称(中文):
机器狗变种61440
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
61440
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
此病毒可通过磁盘驱动,穿透还原,替换原Windows操作系统的启动治理进程userinit.exe。在中毒机器重新起动后,病毒会随着系统自动运行起来,下载各种木马病毒,危及用户帐号的安全。
1.病毒运行后,会创建以下文件:
%SystemRoot%\System32\drivers\pcihdd.sys
病毒本身会释放出一个pcihdd.sys到drivers目录,pcihdd.sys是一个底层硬盘驱动,提高自己的优先级接替还原卡或冰点的硬盘
驱动,然后访问指定的网址,这些网址只要连接就会自动下载大量的病毒与恶意插件。然后修改接管启动治理器,最可怕的是,
会通过内部网络传播,一台中招,能引发整个网络的电脑全部自动重启。而且病毒会在加载pcihdd.sys驱动完成后删除驱动文件本身。
2.病毒会检测自己的路径是否为%system32%\userinit.exe,若不是,就将自己拷贝到
%system32%\userinit.exe.
3.该病毒会在HKLM\System\CurrentControlSet\Services\PciHdd\ImagePath下
添加一个值来创建服务,实现自启动,启动参数为:"\??\C:\WINDOWS\system32\drivers\pcihdd.sys"
4.该病毒至少会从以下三个网址下载N多其它病毒及木马:
2.jopenqc.com
1.jopenqq.com
1.jopekk.com
5.userinit.exe病毒,在启动[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]处加载。
加载成功后,到指定网址疯狂下载其它病毒及木马。几乎大部分都是arp病毒,导致局域网速度奇慢,网络一度陷入瘫痪。
该文件下载的病毒包括以下(现在已不能下载):
DbgHlp32.exe
IGM.exe
cmdbcs.exe
vml.exe
swchost.exe
kvdxsfis.exe
attrib.exe
kvsc3.exe
avpsrv.exe
这些病毒同时发作,令整个局域网络陷入网络交通拥挤的状态。用相应的arp监控软件及路由器监控,
都可以查看到局域网arp包的异常。