機器狗的生前身後

曾經有很多人說有穿透還原卡、冰點的病毒,但是在各個論壇都沒有樣本證據,直到2007年8月29日終於有人在社區裏貼出了一個樣本。這個病毒沒有名字,圖標是SONY的機器狗阿寶,就像前輩熊貓燒香一樣,大家給它起了個名字叫機器狗。

工作原理

機器狗本身會釋放出一個pcihdd.sys到drivers目錄,pcihdd.sys是一個底層硬盤驅動,提高自己的優先級接替還原卡或冰點的硬盤驅動,然後訪問指定的網址,這些網址只要連接就會自動下載大量的病毒與惡意插件。然後修改接管啟動管理器,最可怕的是,會通過內部網絡傳播,一臺中招,能引發整個網絡的電腦全部自動重啟。
重點是,一個病毒,如果以hook方式入侵系統,接替硬盤驅動的方式效率太低了,而且毀壞還原的方式這也不是最好的,還有就是這種技術應用範圍非常小,只有還原技術廠商範圍內有傳播,在這方面國際上也只有中國在用,所以,很可能就是行業內杠。

對於網吧而言,機器狗就是劍指網吧而來,針對所有的還原產品設計,可預見其破壞力很快會超過熊貓燒香。好在現在很多免疫補丁都以出現,發稿之日起,各大殺毒軟件都以能查殺。

免疫補丁之爭

現在的免疫補丁之數是疫苗形式,以無害的樣本復制到drivers下,欺騙病毒以為本身以運行,起到阻止危害的目的。這種形式的問題是,有些用戶為了自身安全會在機器上運行一些查毒程序(比如QQ醫生之類)。這樣疫苗就會被誤認為是病毒,又要廢很多口舌。

解決之道

最新的解決方案是將system32/drivers目錄單獨分配給一個用戶,而不賦予administror修改的權限。雖然這樣能解決,但以後安裝驅動就是一件頭疼的事了。
目前,可以使用機器狗專殺工具!
方法一:使用機器狗病毒專殺工具查殺
機器狗病毒專殺工具RavMonEKiller是目前唯一一款可以查殺所有機器狗病毒及其變種病毒的工具,實現檢測和清除、修復感染機器狗病毒的磁盤和文件,對機器狗病毒的未知變種具備偵測和處理能力,可以處理目前所有的機器狗病毒家族和相關變種。註意在清除時一定要先打上上面說的補丁結束病毒進程的運行,否則病毒將無法清除。
機器狗病毒專殺工具
·機器狗免疫補丁
·迅閃還原 V3.0 build 0905 版本
·機器狗免疫程序

病毒描述:

目前網上流傳一種叫做機器狗的病毒,此病毒采用hook系統的磁盤設備棧來達到穿透目的的,危害極大,可穿透目前技術條件下的任何軟件硬件還原!基本無法靠還原抵擋。目前已知的所有還原產品,都無法防止這種病毒的穿透感染和傳播。
機器狗是一個木馬下載器,感染後會自動從網絡上下載木馬、病毒,危及用戶帳號的安全。
機器狗運行後會釋放一個名為PCIHDD.SYS的驅動文件,與原系統中還原軟件驅動進行硬盤控制權的爭奪,並通過替換userinit.exe文件,實現開機啟動。
方法二:
或者這樣:
1註冊表,組策略中禁止運行userinit.exe 進程
2 在啟動項目中加入批處理
A : 強制結束userinit.exe進程 Taskkill /f /IM userinit.exe (其中“/IM”參數後面為進程的圖像名,這命令只對XP用戶有效)
B : 強制刪除userinit.exe文件 DEL /F /A /Q %SystemRoot%system32userinit.exe
C : 創建userinit.exe免疫文件到%SystemRoot%system32
命令:md %SystemRoot%system32userinit.exe >nul 2>nul
或者 md %SystemRoot%system32userinit.exe
attrib +s +r +h +a %SystemRoot%system32userinit.exe
D: reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage FileExecution Optionsuserinit.exe" /v debugger /t reg_sz /d debugfile.exe/f
userinit1.exe是正常文件改了名字,多加了一個1,你也可以自己修改,不過要手動修改這4個註冊表,並導出,這個批處理才能正常使用。

最新動向

好像機器狗的開發以停止了,從樣本放出到現在也沒有新的版本被發現,這到讓我們非常擔心,因為雖著研究的深入,現在防禦的手段都是針對病毒工作原理的,一但機器狗開始更新,稍加改變工作原理就能大面積逃脫普遍的防禦手段,看來機器狗的爆發只是在等待,而不是大家可以高枕了。
目前網上流傳一種叫做機器狗的病毒,此病毒采用hook系統的磁盤設備棧來達到穿透目的的,危害極大,可穿透目前技術條件下的任何軟件硬件還原!基本無法靠還原抵擋。目前已知的所有還原產品,都無法防止這種病毒的穿透感染和傳播。
機器狗是一個木馬下載器,感染後會自動從網絡上下載木馬、病毒,危及用戶帳號的安全。
機器狗運行後會釋放一個名為PCIHDD.SYS的驅動文件,與原系統中還原軟件驅動進行硬盤控制權的爭奪,並通過替換userinit.exe文件,實現開機啟動。
>> 那麽如何識別是否已中毒呢?
是否中了機器狗的關鍵就在 Userinit.exe 文件,該文件在系統目錄的 system32 文件夾中,點擊右鍵查看屬性,如果在屬性窗口中看不到該文件的版本標簽的話,說明已經中了機器狗。如果有版本標簽則正常。
臨時解決辦法:
一是在路由上封IP:
ROS腳本,要的自己加上去
/ ip firewall filter
add chain=forward content=yu.8s7.net action=reject comment="DF6.0"
add chain=forward content=www.tomwg.com action=reject
二是在c:windowssystem32drivers下建立免疫文件: pcihdd.sys
三是把他要修改的文件在做母盤的時候,就加殼並替換。
在%systemroot%system32drivers目錄下 建立個名為 pcihdd.sys 的文件夾,設置屬性為 任何人禁止
批處理
md %systemroot%system32driverspcihdd.sys
cacls %systemroot%system32driverspcihdd.sys /e /p everyone:n
cacls %systemroot%system32userinit.exe /e /p everyone:r
exit

By tony

自由軟體愛好者~喜歡不斷的思考各種問題,有新的事物都會想去學習嘗試 做實驗並熱衷研究 沒有所謂頂天的技術 只有謙虛及不斷的學習 精進專業,本站主要以分享系統及網路相關知識、資源而建立。 Github http://stnet253.github.io

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料