imapx2 2008-3-10 04:41 PM
“机器狗”病毒简介及其防御查杀方法
机器狗的生前身后 �R�`!i0u1{�C�P,K
曾经有很多人说有穿透还原卡、冰点的病毒,但是在各个论坛都没有样本证据,直到2007年8月29日终于有人在社区里贴出了一个样本。这个病毒没有名字,图标是[color=#0066cc]SONY[/color]的机器狗阿宝,就像前辈熊猫烧香一样,大家给它起了个名字叫机器狗。
,w�L&s�_�w5T�w.N�_
工作原理2q�~�o6D1P+i
?8q
机器狗本身会释放出一个pcihdd.sys到drivers目录,pcihdd.sys是一个底层[color=#0066cc]硬盘[/color]驱动,提高自己的优先级接替还原卡或冰点的硬盘驱动,然后访问指定的网址,这些网址只要连接就会自动下载大量的病毒与恶意插件。然后修改接管启动管理器,最可怕的是,会通过内部网络传播,一台中招,能引发整个网络的电脑全部自动重启。 "O�T%b8A�M�q
重点是,一个病毒,如果以hook方式入侵系统,接替硬盘驱动的方式效率太低了,而且毁坏还原的方式这也不是最好的,还有就是这种技术应用范围非常小,只有还原技术厂商范围内有传播,在这方面国际上也只有中国在用,所以,很可能就是行业内杠。
�N({�j'?�[�s
�N�A�x.~�F)}�U
对于网吧而言,机器狗就是剑指网吧而来,针对所有的还原产品设计,可预见其破坏力很快会超过熊猫烧香。好在现在很多免疫补丁都以出现,发稿之日起,各大杀毒软件都以能查杀。 9Y
P'T�f�E3e4}�\�a�@
免疫补丁之争
�M3m�j�Y�j�l"y"~�G�n
现在的免疫补丁之数是疫苗形式,以无害的样本复制到drivers下,欺骗病毒以为本身以运行,起到阻止危害的目的。这种形式的问题是,有些用户为了自身安全会在机器上运行一些查毒程序(比如QQ医生之类)。这样疫苗就会被误认为是病毒,又要废很多口舌。
/E%p:l
D!m6`-\
解决之道 .c.X�@$a�h�z5z
最新的解决方案是将system32/drivers目录单独分配给一个用户,而不赋予administror修改的权限。虽然这样能解决,但以后安装驱动就是一件头疼的事了。
)f3x�W�N0G
目前,可以使用机器狗专杀工具!-a�E�L�O�w!M�N
方法一:使用机器狗病毒专杀工具查杀
+o E8F�v+\�z
机器狗病毒专杀工具RavMonE Killer是目前一款可以查杀所有机器狗病毒及其变种病毒的工具,实现检测和清除、修复感染机器狗病毒的磁盘和文件,对机器狗病毒的未知变种具备侦测和处理能力,可以处理目前所有的机器狗病毒家族和相关变种。注意在清除时一定要先打上上面说的补丁结束病毒进程的运行,否则病毒将无法清除。
2b�[&P%S$b)?�X�}'{'X
机器狗病毒专杀工具�L6z7c*},X:i!{
·机器狗免疫补丁
%k:S�d-@0K�t8?(z,d
·迅闪还原 V3.0 build 0905 版本 �H#N�F�_
b!M4g
·机器狗免疫程序 �o,^�^7n�K
T9g
病毒描述:�[�K�~ Z+R3n)U�~�s�F�r
目前网上流传一种叫做机器狗的病毒,此病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。 !D0V�X�q�{�J
机器狗是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户帐号的安全。
�u'Y�W0\
q�~.W$X&O
机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,并通过替换userinit.exe文件,实现开机启动。+k:l�a3i }
方法二:
�O�w�~ C
O _
或者这样:9y�k�g�h�m N�V�G�|�B
1注册表,组策略中禁止运行userinit.exe 进程
�~'~;w&y$Z�f�C�V%]0]
2 在启动项目中加入批处理
"V�W�x�?�T,q
A : 强制结束userinit.exe进程 Taskkill /f /IM userinit.exe (其中“/IM”参数后面为进程的图像名,这命令只对XP用户有效)
�L"t�R*I3{ ^
B : 强制删除userinit.exe文件 DEL /F /A /Q %SystemRoot%system32userinit.exe
�H�P"T5d#k�v
C : 创建userinit.exe免疫文件到%SystemRoot%system32
?"U�}�r�v�}�K�l�A�b�}
命令:md %SystemRoot%system32userinit.exe >nul 2>nul 2}�G v&R�I�U/q ^
或者 md %SystemRoot%system32userinit.exe �W)d2I9~�A&}�P
attrib +s +r +h +a %SystemRoot%system32userinit.exe ,o�Z�g#f5e�s5W.]
?#C
D : reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe" /v debugger /t reg_sz /d debugfile.exe /f 6}.d�i,j#U!u
B�{
userinit1.exe是正常文件改了名字,多加了一个1,你也可以自己修改,不过要手动修改这4个注册表,并导出,这个批处理才能正常使用。
8E+?�U+p"T�@0}�y�Z
最新动向
�I$\�R(o
\ f�k
好像机器狗的开发以停止了,从样本放出到现在也没有新的版本被发现,这到让我们非常担心,因为虽着研究的深入,现在防御的手段都是针对病毒工作原理的,一但机器狗开始更新,稍加改变工作原理就能大面积逃脱普遍的防御手段,看来机器狗的爆发只是在等待,而不是大家可以高枕了。
�`�H0V#t
E$r�C�Q�h2J
目前网上流传一种叫做机器狗的病毒,此病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。*f#p'G�a�N
机器狗是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户帐号的安全。�v�B�b�X�|2}�C
机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,并通过替换userinit.exe文件,实现开机启动。;z(w8c�Z�P�?(Y#o9n�w2J
>> 那么如何识别是否已中毒呢?
�F�n0M)i&T/h0u
是否中了机器狗的关键就在 Userinit.exe 文件,该文件在系统目录的 system32 文件夹中,点击右键查看属性,如果在属性窗口中看不到该文件的版本标签的话,说明已经中了机器狗。如果有版本标签则正常。�T�E�L5q�b
临时解决办法:1m-?+^:F�]5N
c
一是在路由上封IP:�Q"U�}�{:M*k+F%p
ROS脚本,要的自己加上去)R3D�Y�u+`�w:M-n
/ ip firewall filter6|,r
g�~$q�[5D+L
add chain=forward content=yu.8s7.net action=reject comment="DF6.0"�b1z-m3t�V
add chain=forward content=www.tomwg.com action=reject�O5A:T0w,K�y
二是在c:windowssystem32drivers下建立免疫文件: pcihdd.sys
�x�d-u ^�`�O�V�n
三是把他要修改的文件在做母盘的时候,就加壳并替换。
9T�`(V�v�I:[+V
在%systemroot%system32drivers目录下 建立个名为 pcihdd.sys 的文件夹,设置属性为 任何人禁止�j5_6g�B!H�`7X/}
批处理
�_+~�J�s.^&h
md %systemroot%system32driverspcihdd.sys�Q-Y�o�X:w�X�^!l
cacls %systemroot%system32driverspcihdd.sys /e /p everyone:n �q b0W�P�I6}
cacls %systemroot%system32userinit.exe /e /p everyone:r
+`1k�P�`
A�Q
exit
imapx2 2008-3-10 04:47 PM
[b][color=#8000ff]机器狗病毒简介
8x:E�p�o%A&r�R%w1y
中毒症状:就是打开我的电脑,或者打开IE,在只开一个窗口的情况下,把打开的窗口关闭,桌面进程就会重启
�R�?#^/P3Z8z,^
经过对样本的分析和测试,DF6.0、DF6.1、DF6.2及以前版本三茗,小哨兵还原卡均被成功穿透,(此病毒对德天信山还原卡无效)这是一个木马下载器,下载器通过名为PCIHDD.SYS驱动文件进行与DF的[url=http://hardware.pchome.net/storage/][color=#0066cc]硬盘[/color][/url]控制权的争夺,并修改userinit.exe文件。实现彻底的隐蔽开机启动。目前的临时解决方案:一是封IP 58.221.254.103,二是在c:windowssystem32drivers下建立免疫文件: pcihdd.sys #X�F0c1o�B4a/O
木马联网后的下载内容 8}�M�L�}.}�Q8f�n
http://yu.8s7.net/cert.cer
;g7{4g�z-K�q�]�X
http://www.tomwg.com/mm/mm.jpg�g4c4N$|
y
t�L
http://www.tomwg.com/mm/[url=http://article.pchome.net/content-447464.html][color=#0066cc]wow[/color][/url].jpg
�]�F/v�^�T+s
http://www.tomwg.com/mm/mh011.jpg
�B�M�e�a�U�P�Q
http://www.tomwg.com/mm/zt.jpg
�b�_�I�C�f
http://www.tomwg.com/mm/wl.jpg
9W�R9Y k�H4K
http://www.tomwg.com/mm/wd.jpg
�W�z;m�\�}7W)K6m�n
http://www.tomwg.com/mm/tl.jpg�~�d�_�l�j*A�g7?
http://www.tomwg.com/mm/dh3.jpg-S7r%C�L�[�\.~�i�k
[�k
http://www.tomwg.com/mm/my.jpg
!A%Y9V�E7d p
请将以上IP在路由里屏蔽连接。�V�H+g
o�t6C�Q
病毒样本�e�z"_�N6\/K�e�r
explorer.rar
�H�~�f"M;Y0h�p
机器狗免疫补丁'S�F)Z�P�p�u d8o0M
机器狗免疫补丁.rar
�?�l�|+]:D
[b]对机器狗病毒测试结果[/b]
�l0E c�L.w$J
测试环境:xpsp2,补丁打到最新,安装冰点6.2单机版,全盘保护。测试开始,打开windowssystem32 找到userinit.exe 文件,进行监视
�b2b�c*|0j
[
�S%K e�N.A,_)J
[align=center][img]http://img.article.pchome.net/00/26/61/94/20079121536174.jpg[/img][/align]6v#n�?�t&l(Q7b$c7x
然后运行机器狗:
p�b9I,~;b,|0H
[align=center][img]http://img.article.pchome.net/00/26/61/94/20079121726639.jpg[/img][/align]+T6X$Q�N*u�A�G;^�c
鼠标闪了一下,再看userinit.exe ,文件没有被修改,这时重启电脑后,没有发现中毒现象。不死心,然后继续运行一遍机器狗,userinit.exe 仍然没有被改,接着连续双击机器狗4-5次这样,“奇迹”出现了:�{�r"?�\�f
[align=center][img]http://img.article.pchome.net/00/26/61/94/20079122056753.jpg[/img][/align]
�v.J/z1S4d
I'o'r
userinit.exe 的版本号不见了,这时重启电脑后,打开msconfig启动项,惨不忍睹啊:�i�X.l�o�~�}2^
[align=center][img]http://img.article.pchome.net/00/26/61/94/20079122248216.jpg[/img][/align]
�t8O�W"c7I�L�`�x�U
我大概猜测了下病毒的感染过程,运行后,先是用pcihdd.sys与冰点抢硬盘控制权,但是会有抢不到的时候,也就是没有“穿透”成功。然而多运行几次后,机器狗终于获取了硬盘控制权,然后对userinit.exe 进行改写并“穿透”保存了下来。
�s0~�Q4T%]�Z�G3?
0d-M�O'd+O�l4L
机器狗病毒防御方法:a a ~9C(I�j r8j�N�D
[b]关于机器狗病毒[/b][b]([/b]含驱动级防御)
+B.w9]!t�E�W�t�L7i$`�b
该病毒为一个木马下载器,病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡,可通过以下几方面查看是否已中毒.,b�{"e�n�r�T"^!X�G
激发病毒后会在SYSTEM32下修改userinit.exe ,可通过查看版本信息看出,查看DRVERS目录下产生pcihdd.sys驱动文件,会在启动项加载“cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32"启动项,并在windows目录会产生以上相应文件,机器重启后以上设置都会真实保存.
�V�a/u�[6s1r�_�C�V
[b]问:我们是怎么来防御的?[/b]�Y�a�z�_'U0?�i
通过禁止文件访问的形式来禁止病毒的运行,可自由设置配置文件并方便的加入到客户机启动运行列表项,具体操作如下:
.p�B�z7j�V%Y
一、驱动内核层[b]防御[/b]:( 从原理上[b]防御 )[/b]�v&w(p�A"z&_!k
.. [b]针对机器狗病毒对网吧业带来的巨大影响,强者公司经过日夜奋战,终于反编译了该木马大部分代码,提供机器狗病毒的终级解决方案,本着对用户负责的态度,现维护系统免费加入“驱动内核级”机器狗病毒防御,彻底杜绝机器狗病毒包括其变种的破坏.[/b]
�i�z�u I T
[b]关键它是完全免费的.[/b]
�i
n/}�v�u
[b]二、禁止文件访问法:( 初级防御)[/b]
�q0[$R1z�T
T�@�R
1.下载 "机器狗病毒防御补丁点击下载" , 把UnCracker.exe和UnCracker.ini两个文件放在服务端的一个共享目录下,(如:qzsenetgame1),并保证在客户机可以正常访问这个路径;*S+p�N�e�v�r
2.打开服务端主控制器在随意哪台客户机上点右键-à运行工作站命令,加上如下图中所设置的工作站每次启动运行列表: �k2z%f�T�z1C�~�y%O
[align=center][img]http://img.article.pchome.net/00/26/61/94/up_clip_image002.jpg[/img][/align]�d$J%i�K�e�I�t3q�Y
3.编辑UnCracker.ini文件,如下所述:
#Q8J�Y�Q�A�m�J�Z
[system]1a%R&j
r5g�N
1=c:windowshh.exe
;h&H�^!g'I
2=… F5v�S$J3C6Y�D�u"l4d�s�t
[nosystem]
#k�c�t�_�m5M$O
1=C:WINDOWSsystem32driverspcihdd.sys(可防机器狗病毒)
:S�q Z�k�t�t�i
2=d:command.com
�T;E/y8{�J�g8k.r
D
3=d:Iexplores.exe
�`$i�u�E�D0n
^�S
以上内容可以根据用户需求自由添加,如防止arp运行时可在配置中加入"c:windowssystem32driversnpf.sys","c:windowssystem32packet.dll",-P;[$@7Z�Y
"c:windowssystem32pthreadVC.dll","c:windowssystem32wpcap.dll".�`�_!C/M�_;v+M
[/color][/b]