机器狗的生前身后 ( D$ d( |' z& u
曾经有很多人说有穿透还原卡、冰点的病毒，但是在各个论坛都没有样本证据，直到2007年8月29日终于有人在社区里贴出了一个样本。这个病毒没有名字，图标是SONY的机器狗阿宝，就像前辈熊猫烧香一样，大家给它起了个名字叫机器狗。  ; H  O) l, i7 J1 f. I
工作原理. b2 F1 Z% }! w
机器狗本身会释放出一个pcihdd.sys到drivers目录，pcihdd.sys是一个底层硬盘驱动，提高自己的优先级接替还原卡或冰点的硬盘驱动，然后访问指定的网址，这些网址只要连接就会自动下载大量的病毒与恶意插件。然后修改接管启动管理器，最可怕的是，会通过内部网络传播，一台中招，能引发整个网络的电脑全部自动重启。  
' |: S$ e" N2 o5 I( M1 ~- p0 i重点是，一个病毒，如果以hook方式入侵系统，接替硬盘驱动的方式效率太低了，而且毁坏还原的方式这也不是最好的，还有就是这种技术应用范围非常小，只有还原技术厂商范围内有传播，在这方面国际上也只有中国在用，所以，很可能就是行业内杠。 8 ?3 Q9 f2 m; T) W7 K! z5 H

8 w0 l6 Z% u4 q" C, Y对于网吧而言，机器狗就是剑指网吧而来，针对所有的还原产品设计，可预见其破坏力很快会超过熊猫烧香。好在现在很多免疫补丁都以出现，发稿之日起，各大杀毒软件都以能查杀。  * g; g1 y% |6 a8 @
免疫补丁之争  . K: I4 Y8 Y# `2 G
现在的免疫补丁之数是疫苗形式，以无害的样本复制到drivers下，欺骗病毒以为本身以运行，起到阻止危害的目的。这种形式的问题是，有些用户为了自身安全会在机器上运行一些查毒程序（比如QQ医生之类）。这样疫苗就会被误认为是病毒，又要废很多口舌。    H( k0 C0 @8 n( g/ b% G  r
解决之道  
0 q9 C, x/ s9 x8 l最新的解决方案是将system32/drivers目录单独分配给一个用户，而不赋予administror修改的权限。虽然这样能解决，但以后安装驱动就是一件头疼的事了。 ) }* j5 F6 F+ K. E: e$ s3 \5 f
目前，可以使用机器狗专杀工具！8 y8 t- R5 P0 N5 ]( d7 P# L! O  W
方法一：使用机器狗病毒专杀工具查杀$ b6 I) [$ A6 G
机器狗病毒专杀工具RavMonE Killer是目前一款可以查杀所有机器狗病毒及其变种病毒的工具，实现检测和清除、修复感染机器狗病毒的磁盘和文件，对机器狗病毒的未知变种具备侦测和处理能力，可以处理目前所有的机器狗病毒家族和相关变种。注意在清除时一定要先打上上面说的补丁结束病毒进程的运行，否则病毒将无法清除。. n  h9 M2 E% y2 u2 _$ Y2 W
机器狗病毒专杀工具
6 y9 A1 n/ X- k0 V, u' k) v( e·机器狗免疫补丁
4 @7 i. e$ T5 W·迅闪还原 V3.0 build 0905 版本 : q6 p& r1 G3 S2 R$ N( _
·机器狗免疫程序 ( H' h7 i/ D1 }" a0 G
病毒描述：+ H  K  _+ V# W6 F3 L0 M
目前网上流传一种叫做机器狗的病毒，此病毒采用hook系统的磁盘设备栈来达到穿透目的的，危害极大，可穿透目前技术条件下的任何软件硬件还原！基本无法靠还原抵挡。目前已知的所有还原产品，都无法防止这种病毒的穿透感染和传播。
& J. m# k. X( }( r机器狗是一个木马下载器，感染后会自动从网络上下载木马、病毒，危及用户帐号的安全。 ( w. R9 G& n4 V
机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件，与原系统中还原软件驱动进行硬盘控制权的争夺，并通过替换userinit.exe文件，实现开机启动。
8 w7 F' _7 S& [) C* j方法二：* G6 K2 R; |1 X% _/ J1 ]& @. h
或者这样：
9 B- d7 m8 `( V: j1注册表，组策略中禁止运行userinit.exe 进程
" ~$ F- p* C9 K. j2 在启动项目中加入批处理
2 k( J. u/ @9 p( cA : 强制结束userinit.exe进程 Taskkill /f /IM userinit.exe （其中“/IM”参数后面为进程的图像名，这命令只对XP用户有效）
) ~0 `6 D$ b- e; _+ T' O) YB : 强制删除userinit.exe文件 DEL /F /A /Q %SystemRoot%system32userinit.exe 0 i  i8 ~( L! [1 V0 t6 G
C : 创建userinit.exe免疫文件到%SystemRoot%system32
4 b- Q, g* J4 }' m; N命令：md %SystemRoot%system32userinit.exe >nul 2>nul : q% \: M$ q- V. L. F( Q
或者 md %SystemRoot%system32userinit.exe
' C" J3 @0 S% ~7 d% Hattrib +s +r +h +a %SystemRoot%system32userinit.exe
' I- U7 q  J. Y. R. |D : reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe" /v debugger /t reg_sz /d debugfile.exe /f 7 G; q4 B$ w& ?) I
userinit1.exe是正常文件改了名字，多加了一个1，你也可以自己修改，不过要手动修改这4个注册表，并导出，这个批处理才能正常使用。
: U3 E, b. ^5 I( G/ Q' Y) y最新动向  
3 w9 [3 {% l) }$ E3 E+ `2 b+ p9 n好像机器狗的开发以停止了，从样本放出到现在也没有新的版本被发现，这到让我们非常担心，因为虽着研究的深入，现在防御的手段都是针对病毒工作原理的，一但机器狗开始更新，稍加改变工作原理就能大面积逃脱普遍的防御手段，看来机器狗的爆发只是在等待，而不是大家可以高枕了。) S7 r/ B5 a2 h
目前网上流传一种叫做机器狗的病毒，此病毒采用hook系统的磁盘设备栈来达到穿透目的的，危害极大，可穿透目前技术条件下的任何软件硬件还原！基本无法靠还原抵挡。目前已知的所有还原产品，都无法防止这种病毒的穿透感染和传播。
7 D% _  G4 i0 G" M! C  M机器狗是一个木马下载器，感染后会自动从网络上下载木马、病毒，危及用户帐号的安全。
& w9 W0 H7 t& Z机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件，与原系统中还原软件驱动进行硬盘控制权的争夺，并通过替换userinit.exe文件，实现开机启动。4 P( T& \: ?' Y& u8 r
>> 那么如何识别是否已中毒呢？9 Q( p1 B$ d( [) x. n) o
是否中了机器狗的关键就在 Userinit.exe 文件，该文件在系统目录的 system32 文件夹中，点击右键查看属性，如果在属性窗口中看不到该文件的版本标签的话，说明已经中了机器狗。如果有版本标签则正常。) z6 G- o% x& n) H$ v# I# w- y
临时解决办法：
' h- r6 a7 Z1 g( `5 {6 s0 U2 [一是在路由上封IP：& u! I7 c( i2 I' P: p
ROS脚本,要的自己加上去7 M: L& e' n/ c  z; O' f7 E
/ ip firewall filter8 t2 o- W1 _1 {- r% Q; e- [+ d
add chain=forward content=yu.8s7.net action=reject comment="DF6.0", J  l9 x' G+ K3 G
add chain=forward content=www.tomwg.com action=reject
  `1 c5 q3 c* y  I6 }二是在c:windowssystem32drivers下建立免疫文件： pcihdd.sys
6 S# c- t8 L, w三是把他要修改的文件在做母盘的时候，就加壳并替换。
3 a/ d$ W2 r4 h& E) N3 @在%systemroot%system32drivers目录下 建立个名为 pcihdd.sys 的文件夹，设置属性为 任何人禁止
4 @" g- ~7 `4 r批处理# l: [5 g$ D- Z: o+ ]( U
md %systemroot%system32driverspcihdd.sys
; K" E( c& F  n8 p& V/ ~1 {cacls %systemroot%system32driverspcihdd.sys /e /p everyone:n & @$ N' i6 R" {. |5 b, @& C
cacls %systemroot%system32userinit.exe /e /p everyone:r8 Y: L6 t2 O, ?7 \  x
exit

机器狗病毒简介2 }/ b) m" U- C' F/ d
中毒症状：就是打开我的电脑，或者打开IE，在只开一个窗口的情况下，把打开的窗口关闭，桌面进程就会重启
1 v% H( F; @2 \' `# ]! L经过对样本的分析和测试，DF6.0、DF6.1、DF6.2及以前版本三茗，小哨兵还原卡均被成功穿透，（此病毒对德天信山还原卡无效）这是一个木马下载器，下载器通过名为PCIHDD.SYS驱动文件进行与DF的硬盘控制权的争夺，并修改userinit.exe文件。实现彻底的隐蔽开机启动。目前的临时解决方案：一是封IP 58.221.254.103，二是在c:windowssystem32drivers下建立免疫文件： pcihdd.sys
; S" G  l& O0 x- S: H8 w( l木马联网后的下载内容
1 X/ I; D2 j+ D; U! [http://yu.8s7.net/cert.cer0 ~. U) O. g' k2 J6 \
http://www.tomwg.com/mm/mm.jpg+ \- S; D9 s+ p
http://www.tomwg.com/mm/wow.jpg+ W2 e) o0 W3 |5 D9 u& |6 e3 J
http://www.tomwg.com/mm/mh011.jpg7 z. h# z! Z: M7 D  b; x9 y- ~* Y" \
http://www.tomwg.com/mm/zt.jpg# r3 k+ m7 w/ b1 o
http://www.tomwg.com/mm/wl.jpg2 h& M& m) w" ?- w; Z% }% M9 @4 [
http://www.tomwg.com/mm/wd.jpg( X2 ~/ y2 c: N9 p5 W+ q0 K6 d7 K
http://www.tomwg.com/mm/tl.jpg( M5 q7 B/ o3 O
http://www.tomwg.com/mm/dh3.jpg
0 i1 D1 \/ {! |http://www.tomwg.com/mm/my.jpg! P  H3 d7 n4 g% }: o
请将以上IP在路由里屏蔽连接。
. w. J( u7 a+ {6 g- v# k! E病毒样本
, y! R: X, U& pexplorer.rar- v. v- a+ V! S% W9 U4 G
机器狗免疫补丁
, K0 ~3 `& n7 j, t$ w# i机器狗免疫补丁.rar4 P9 b  c2 `6 S) l8 U% ]% B
对机器狗病毒测试结果1 i* T: z1 A/ v" X. Z& J
测试环境：xpsp2，补丁打到最新，安装冰点6.2单机版，全盘保护。测试开始，打开windowssystem32 找到userinit.exe 文件，进行监视
0 a$ T. i3 P1 p7 _1 R% A[2 t! X3 y& ]$ _6 p) f) \3 W( Y

" l7 O1 |0 }# C然后运行机器狗：8 G" E6 O) t; p  }

6 ?  V7 \" F! L) E7 M  I
鼠标闪了一下，再看userinit.exe ，文件没有被修改，这时重启电脑后，没有发现中毒现象。不死心，然后继续运行一遍机器狗，userinit.exe 仍然没有被改，接着连续双击机器狗4-5次这样，“奇迹”出现了：* a0 a5 U5 T7 I+ i6 I: E

* o' {7 S: ~$ @9 d" g
userinit.exe 的版本号不见了，这时重启电脑后，打开msconfig启动项，惨不忍睹啊：" i2 {  d' h# E: }# I) s

- }- b' f& i  A, z; Y7 i我大概猜测了下病毒的感染过程，运行后，先是用pcihdd.sys与冰点抢硬盘控制权，但是会有抢不到的时候，也就是没有“穿透”成功。然而多运行几次后，机器狗终于获取了硬盘控制权，然后对userinit.exe 进行改写并“穿透”保存了下来。
1 n2 F; I9 t: M. w! p" r4 N9 F
4 u1 H( y# K# M机器狗病毒防御方法$ u# I" Y! t# M( J
关于机器狗病毒(含驱动级防御)
8 w- G" Z) v7 M7 C+ A: U4 l8 N, w该病毒为一个木马下载器，病毒采用hook系统的磁盘设备栈来达到穿透目的的，危害极大，可穿透目前技术条件下的任何软件硬件还原！基本无法靠还原抵挡，可通过以下几方面查看是否已中毒.
4 m6 \2 w7 r9 v激发病毒后会在SYSTEM32下修改userinit.exe ，可通过查看版本信息看出，查看DRVERS目录下产生pcihdd.sys驱动文件，会在启动项加载“cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32"启动项，并在windows目录会产生以上相应文件，机器重启后以上设置都会真实保存.! e, \# ]+ f+ ]8 t
问：我们是怎么来防御的？+ l' M& g9 I, T  [/ R" z! e: y) k
通过禁止文件访问的形式来禁止病毒的运行，可自由设置配置文件并方便的加入到客户机启动运行列表项，具体操作如下:
% {4 g' E; W* v9 Z. ^! [一、驱动内核层防御：( 从原理上防御 )  v1 p8 {9 n' I" b! e- F% @
.. 针对机器狗病毒对网吧业带来的巨大影响，强者公司经过日夜奋战，终于反编译了该木马大部分代码，提供机器狗病毒的终级解决方案，本着对用户负责的态度，现维护系统免费加入“驱动内核级”机器狗病毒防御，彻底杜绝机器狗病毒包括其变种的破坏.
+ x' o: |1 q6 u! n5 g4 h% H/ h关键它是完全免费的.
9 y) t; a$ R; [* \二、禁止文件访问法：( 初级防御)0 G- v, w+ ^( a- A9 e4 y& T/ r9 w4 O
1．下载 "机器狗病毒防御补丁点击下载" , 把UnCracker.exe和UnCracker.ini两个文件放在服务端的一个共享目录下,（如：qzsenetgame1），并保证在客户机可以正常访问这个路径；: k4 M$ f' J; P4 J& o8 g
2．打开服务端主控制器在随意哪台客户机上点右键-à运行工作站命令,加上如下图中所设置的工作站每次启动运行列表:
+ r3 ]9 A3 Z4 u- v

( w7 x' \( D* m) l* Q$ Q* k3．编辑UnCracker.ini文件，如下所述：1 p( c: n, V  B( s/ F
[system]
8 v( m# d" T; k8 p' J) \, c' o' N9 h4 s9 N% T1=c:windowshh.exe
: l9 v7 E" E! W* e7 `2=…
' `. y1 M7 w6 @$ D/ [[nosystem]
4 o7 n' Q& G8 ]) X( }1=C:WINDOWSsystem32driverspcihdd.sys(可防机器狗病毒)6 X0 C! {) @) B0 `
2=d:command.com
3 ?) ?  Z* x0 v( Z$ n3=d:Iexplores.exe# I: A* i1 [, X1 c5 T& S
以上内容可以根据用户需求自由添加,如防止arp运行时可在配置中加入"c:windowssystem32driversnpf.sys","c:windowssystem32packet.dll",. d7 y3 N7 e3 Y. n8 t5 b" {
"c:windowssystem32pthreadVC.dll","c:windowssystem32wpcap.dll".
0 F! s8 V- `% {  h" I% n" |