|
|
曾經有很多人說有穿透還原卡、冰點的病毒,但是在各個論壇都沒有樣本證據,直到2007年8月29日終於有人在社區裏貼出了一個樣本。這個病毒沒有名字,圖標是sony的機器狗阿寶,就像前輩熊貓燒香一樣,大傢給它起了個名字叫機器狗。
此病毒采用hook係統的磁盤設備棧來達到穿透目的的,危害極大,可穿透目前技術條件下的任何軟件硬件還原!基本無法靠還原抵擋。目前已知的所有還原産品,都無法防止這種病毒的穿透感染和傳播。
機器狗是一個木馬下載器,感染後會自動從網絡上下載木馬、病毒,危及用戶帳號的安全。機器狗運行後會釋放一個名為pcihdd.sys的驅動文件,與原係統中還原軟件驅動進行硬盤控製權的爭奪,並通過替換userinit.exe文件,實現開機啓動。 |
|
機器狗本身會釋放出一個pcihdd.sys到drivers目錄,pcihdd.sys是一個底層硬盤驅動,提高自己的優先級接替還原卡或冰點的硬盤驅動,然後訪問指定的網址,這些網址衹要連接就會自動下載大量的病毒與惡意插件。然後修改接管啓動管理器,最可怕的是,會通過內部網絡傳播,一臺中招,能引發整個網絡的電腦全部自動重啓。
重點是,一個病毒,如果以hook方式入侵係統,接替硬盤驅動的方式效率太低了,而且毀壞還原的方式這也不是最好的,還有就是這種技術應用範圍非常小,衹有還原技術廠商範圍內有傳播,在這方面國際上也衹有中國在用,所以,很可能就是行業內杠。
對於網吧而言,機器狗就是劍指網吧而來,針對所有的還原産品設計,可預見其破壞力很快會超過熊貓燒香。好在現在很多免疫補丁都以出現,發稿之日起,各大殺毒軟件都以能查殺。 |
|
| 是否中了機器狗的關鍵就在 userinit.exe 文件,該文件在係統目錄的 system32 文件夾中,點擊右鍵查看屬性,如果在屬性窗口中看不到該文件的版本標簽的話,說明已經中了機器狗。如果有版本標簽則正常。 |
|
| 現在的免疫補丁之數是疫苗形式,以無害的樣本復製到drivers下,欺騙病毒以為本身以運行,起到阻止危害的目的。這種形式的問題是,有些用戶為了自身安全會在機器上運行一些查毒程序(比如qq醫生之類)。這樣疫苗就會被誤認為是病毒,又要廢很多口舌。 |
|
方案1
解决方案是將system32/drivers目錄單獨分配給一個用戶,而不賦予administror修改的權限。雖然這樣能解决,但以後安裝驅動就是一件頭疼的事了。
徹底清除該病毒,處理後重啓一下電腦就可以了,之前要打上補丁!
或者這樣:
1註册表,組策略中禁止運行userinit.exe 進程
2 在啓動項目中加入批處理
a : 強製結束userinit.exe進程 taskkill /f /im userinit.exe (其中“/im”參數後面為進程的圖像名,這命令衹對xp用戶有效)
b : 強製刪除userinit.exe文件 del /f /a /q %systemroot%system32userinit.exe
c : 創建userinit.exe免疫文件到%systemroot%system32
命令:md %systemroot%system32userinit.exe >nul 2>nul
或者 md %systemroot%system32userinit.exe
attrib +s +r +h +a %systemroot%system32userinit.exe
d : reg add "hklmsoftwaremicrosoftwindows ntcurrentversionimage file execution optionsuserinit.exe" /v debugger /t reg_sz /d debugfile.exe /f
userinit1.exe是正常文件改了名字,多加了一個1,你也可以自己修改,不過要手動修改這4個註册表,並導出,這個批處理才能正常使用。
方案2
1、首先在係統system32下復製個無毒的userinit.exe,文件名為fuckigm.exe(文件名可以任意取),這就是下面批處理要指嚮執行的文件!也就是開機啓動userinit.exe的替代品!而原來的userinit.exe保留!其實多復製份的目的衹是為了多重保險!可能對防止以後變種起到一定的作用。
2、創建個文件名為userinit.bat的批處理(文件名也可任意取,但要和下面說到的註册表鍵值保持一致即可),內容如下:
start fuckigm.exe (呵呵,夠簡單吧?)
3、修改註册表鍵值,將userinit.exe改為userinit.bat。內容如下:
windows registry editor version 5.00
[hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionwinlogon]
"userinit"="c:windowssystem32userinit.bat,"
就這3步,讓這條狗再也兇不起來!這是在windows 2003測試的,雙擊機器狗後,沒什麽反應,對比批處理也是正常,即這狗根本沒改動它!開關機遊戲均無異常!但唯一美中不足的是,采用經典模式開機的啓動時會出現個一閃而過的黑框!
如果嫌麻煩,也不要緊。上面三條批處理網友已搞好了,直接復製下面的這個存為批處理執行就ok了。三步合二為一
@echo off
:::直接復製係統system32下的無毒userinit.exe為fuckigm.exe
cd /d %systemroot%system32
copy /y userinit.exe fuckigm.exe >nul
:::創建userinit.bat
echo @echo off >>userinit.bat
echo start fuckigm.exe >>userinit.bat
:::註册表操作
reg add "hklmsoftwaremicrosoftwindows ntcurrentversionwinlogon" /v userinit / t reg_sz /d "c:windowssystem32userinit.bat," /f >nul
:::刪掉自身(提倡環保)
del /f /q %0
當然,如果實在不行,下載程序killigm。然後直接解壓運行裏面的程序:機器狗免疫補丁.bat 執行就可以了.
網上流傳的另一種新的變種的防止方法 :
開始菜單運行.輸入cmd
cd ……到drivers
md pcihdd.sys
cd pcihdd.sys
md 1...
可防止最新變種。請註意:此法衹能是防止,對於殺機器狗還得靠最新的殺毒程序纔行。
臨時解决辦法:
一是在路由上封ip:
ros腳本,要的自己加上去
/ ip firewall filter
add chain=forward content=yu.8s7.net action=reject comment="df6.0"
add chain=forward content=www.tomwg.com action=reject
二是在c:windowssystem32drivers下建立免疫文件: pcihdd.sys ,
三是把他要修改的文件在做母盤的時候,就加殼並替換。
在%systemroot%system32drivers目錄下 建立個 明字 為 pcihdd.sys 的文件夾 設置屬性為 任何人禁止批處理
md %systemroot%system32driverspcihdd.sys
cacls %systemroot%system32driverspcihdd.sys /e /p everyone:n
cacls %systemroot%system32userinit.exe /e /p everyone:r
exit |
|
好像機器狗的開發已停止了,從樣本放出到現在也沒有新的版本被發現,這到讓我們非常擔心,因為雖着研究的深入,現在防禦的手段都是針對病毒工作原理的,一但機器狗開始更新,稍加改變工作原理就能大面積逃脫普遍的防禦手段,看來機器狗的爆發衹是在等待,而不是大傢可以高枕了。
針對該病毒,反病毒專傢建議廣大用戶及時升級殺毒軟件病毒庫,補齊係統漏洞,上網時確保打開“網頁監控”、“郵件監控”功能;禁用係統的自動播放功能,防止病毒從u盤、mp3、移動硬盤等移動存儲設備進入到計算機;登錄網遊賬號、網絡銀行賬戶時采用軟鍵盤輸入賬號及密碼。
江民機器狗病毒免疫程序下載: http://www.jiangmin.com/download/machinedogpatch.exe
-----------------------------------------------------------------------------
推薦一個好用的防禦功能:大傢可以去360下載專殺軟件..本人已經測試過了,中了病毒之後一下殺掉- -
360下載地址:http://www.360safe.com
機器狗專殺軟件地址:http://dl.360safe.com/killer_rodog.exe |
|
方案1--手動清除法1
解决方案是將system32/drivers目錄單獨分配給一個用戶,而不賦予administror修改的權限。雖然這樣能解决,但以後安裝驅動就是一件頭疼的事了。
徹底清除該病毒,處理後重啓一下電腦就可以了,之前要打上補丁!
或者這樣:
1註册表,組策略中禁止運行userinit.exe 進程
2 在啓動項目中加入批處理
A : 強製結束userinit.exe進程 Taskkill /f /IM userinit.exe (其中“/IM”參數後面為進程的圖像名,這命令衹對XP用戶有效)
B : 強製刪除userinit.exe文件 DEL /F /A /Q %SystemRoot%system32userinit.exe
C : 創建userinit.exe免疫文件到%SystemRoot%system32
命令:md %SystemRoot%system32userinit.exe >nul 2>nul
或者 md %SystemRoot%system32userinit.exe
attrib +s +r +h +a %SystemRoot%system32userinit.exe
D : reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe" /v debugger /t reg_sz /d debugfile.exe /f
userinit1.exe是正常文件改了名字,多加了一個1,你也可以自己修改,不過要手動修改這4個註册表,並導出,這個批處理才能正常使用。
方案2--手動清除法2
1、首先在係統system32下復製個無毒的userinit.exe,文件名為FUCKIGM.exe(文件名可以任意取),這就是下面批處理要指嚮執行的文件!也就是開機啓動userinit.exe的替代品!而原來的userinit.exe保留!其實多復製份的目的衹是為了多重保險!可能對防止以後變種起到一定的作用。
2、創建個文件名為userinit.bat的批處理(文件名也可任意取,但要和下面說到的註册表鍵值保持一致即可),內容如下:
start FUCKIGM.exe (呵呵,夠簡單吧?)
3、修改註册表鍵值,將userinit.exe改為userinit.bat。內容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit"="C:WINDOWSsystem32userinit.bat,"
就這3步,讓這條狗再也兇不起來!這是在windows 2003測試的,雙擊機器狗後,沒什麽反應,對比批處理也是正常,即這狗根本沒改動它!開關機遊戲均無異常!但唯一美中不足的是,采用經典模式開機的啓動時會出現個一閃而過的黑框!
如果嫌麻煩,也不要緊。上面三條批處理網友已搞好了,直接復製下面的這個存為批處理執行就OK了。三步合二為一
@echo off
:::直接復製係統system32下的無毒userinit.exe為FUCKIGM.exe
cd /d %SystemRoot%system32
copy /y userinit.exe FUCKIGM.exe >nul
:::創建userinit.bat
echo @echo off >>userinit.bat
echo start FUCKIGM.exe >>userinit.bat
:::註册表操作
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit / t REG_SZ /d "C:WINDOWSsystem32userinit.bat," /f >nul
:::刪掉自身(提倡環保)
del /f /q %0
當然,如果實在不行,下載程序killigm。然後直接解壓運行裏面的程序:機器狗免疫補丁.bat 執行就可以了.
網上流傳的另一種新的變種的防止方法 :
開始菜單運行.輸入CMD
cd ……到drivers
md pcihdd.sys
cd pcihdd.sys
md 1...
可防止最新變種。請註意:此法衹能是防止,對於殺機器狗還得靠最新的殺毒程序纔行。
方案3--使用硬防禦工具
如果您想徹底防禦機器狗病毒,現在有了一種硬件型防禦方案可以考慮,就是藍芯防毒卡,這個卡從技術原理上來說,物理上直接接管了硬盤讀寫,也就是說,硬盤先接到防毒卡上,防毒卡再通過下一代高速硬盤接口PCI-E接到主板上(針對老一代主板也有PCI接口的規格)。這樣防毒卡得以獲得防禦病毒的最堅實的一道把關口,讓我們徹底防禦機器狗病毒。從理論上來說,衹要計算機體係還是馮諾依曼體係,衹要病毒還是軟件手段,就可以防止任何已知或未知的機器狗穿透方式的破壞了。
臨時解决辦法:
一是在路由上封IP:
ROS腳本,要的自己加上去
/ ip firewall filter
add chain=forward content=yu.8s7.net action=reject comment="DF6.0"
add chain=forward content=www.tomwg.com action=reject
二是在c:windowssystem32drivers下建立免疫文件: pcihdd.sys ,
三是把他要修改的文件在做母盤的時候,就加殼並替換。
在%systemroot%system32drivers目錄下 建立個 明字 為 pcihdd.sys 的文件夾 設置屬性為 任何人禁止批處理
md %systemroot%system32driverspcihdd.sys
cacls %systemroot%system32driverspcihdd.sys /e /p everyone:n
cacls %systemroot%system32userinit.exe /e /p everyone:r
exit |
|
|