有關(guān)機器狗病毒的介紹
瀏覽次數(shù):|更新日期:2014年10月08日
此病毒采用hook系統(tǒng)的磁盤設(shè)備棧來達到穿透目的的�����,危害極大���,可穿透目前技術(shù)條件下的任何軟件硬件還原��!基本無法靠還原抵擋。目前已知的所有還原產(chǎn)品�����,都無法防止這種病毒的穿透感染和傳播,它能穿透還原卡����、冰點的病毒,但是在各個論壇都沒有樣本證據(jù)���,直到2007年8月29日終于有人在社區(qū)里貼出了一個樣本。這個病毒沒有名字����,圖標是SONY的機器狗阿寶�����,就像前輩熊貓燒香一樣,大家給它起了個名字叫機器狗�����。
機器狗是一個木馬下載器�,感染后會自動從網(wǎng)絡(luò)上下載木馬、病毒���,危及用戶帳號的安全�����。機器狗運行后會釋放一個名為PCIHDD.SYS的驅(qū)動文件�����,與原系統(tǒng)中還原軟件驅(qū)動進行硬盤控制權(quán)的爭奪,并通過替換userinit.exe文件,實現(xiàn)開機啟動�。
[編輯本段]工作原理
機器狗本身會釋放出一個pcihdd.sys到drivers目錄�����,pcihdd.sys是一個底層硬盤驅(qū)動,提高自己的優(yōu)先級接替還原卡或冰點的硬盤驅(qū)動,然后訪問指定的網(wǎng)址�,這些網(wǎng)址只要連接就會自動下載大量的病毒與惡意插件����。然后修改接管啟動管理器�,最可怕的是,會通過內(nèi)部網(wǎng)絡(luò)傳播,一臺中招���,能引發(fā)整個網(wǎng)絡(luò)的電腦全部自動重啟。
重點是,一個病毒,如果以hook方式入侵系統(tǒng)����,接替硬盤驅(qū)動的方式效率太低了�,而且毀壞還原的方式這也不是最好的����,還有就是這種技術(shù)應(yīng)用范圍非常小���,只有還原技術(shù)廠商范圍內(nèi)有傳播,在這方面國際上也只有中國在用,所以,很可能就是行業(yè)內(nèi)杠�����。
對于網(wǎng)吧而言���,機器狗就是劍指網(wǎng)吧而來�����,針對所有的還原產(chǎn)品設(shè)計����,可預(yù)見其破壞力很快會超過熊貓燒香����。好在現(xiàn)在很多免疫補丁都以出現(xiàn),發(fā)稿之日起,各大殺毒軟件都以能查殺。
[編輯本段]如何識別
是否中了機器狗的關(guān)鍵就在 Userinit.exe 文件��,該文件在系統(tǒng)目錄的 system32 文件夾中�,右鍵點擊一個應(yīng)用程序,后綴為dll或exe的(記事本格式的屬性沒有版本)單看屬性�����。如果在屬性窗口中看不到該文件的版本標簽的話�����,說明已經(jīng)中了機器狗����。如果有版本標簽則正常����。
[編輯本段]免疫補丁
現(xiàn)在的免疫補丁之?dāng)?shù)是疫苗形式����,以無害的樣本復(fù)制到drivers下,欺騙病毒以為本身以運行��,起到阻止危害的目的����。這種形式的問題是,有些用戶為了自身安全會在機器上運行一些查毒程序(比如QQ醫(yī)生之類)��。這樣疫苗就會被誤認為是病毒����,又要廢很多口舌。
解決之道
方案1
解決方案是將system32/drivers目錄單獨分配給一個用戶�����,而不賦予administror修改的權(quán)限�����。雖然這樣能解決��,但以后安裝驅(qū)動就是一件頭疼的事了。
徹底清除該病毒���,處理后重啟一下電腦就可以了,之前要打上補?����?�!
或者這樣:
1注冊表,組策略中禁止運行userinit.exe 進程
2 在啟動項目中加入批處理
A : 強制結(jié)束userinit.exe進程 Taskkill /f /IM userinit.exe (其中“/IM”參數(shù)后面為進程的圖像名,這命令只對XP用戶有效)
B : 強制刪除userinit.exe文件 DEL /F /A /Q %SystemRoot%system32userinit.exe
C : 創(chuàng)建userinit.exe免疫文件到%SystemRoot%system32
命令:md %SystemRoot%system32userinit.exe >nul 2>nul
或者 md %SystemRoot%system32userinit.exe
attrib +s +r +h +a %SystemRoot%system32userinit.exe
D : reg add “HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe”” /v debugger /t reg_sz /d debugfile.exe /f
userinit1.exe是正常文件改了名字��,多加了一個1,你也可以自己修改����,不過要手動修改這4個注冊表���,并導(dǎo)出����,這個批處理才能正常使用��。
方案2
1�、首先在系統(tǒng)system32下復(fù)制個無毒的userinit.exe��,文件名為FUCKIGM.exe(文件名可以任意取)��,這就是下面批處理要指向執(zhí)行的文件!也就是開機啟動userinit.exe的替代品����!而原來的userinit.exe保留����!其實多復(fù)制份的目的只是為了多重保險�����!可能對防止以后變種起到一定的作用�����。
2����、創(chuàng)建個文件名為userinit.bat的批處理(文件名也可任意取,但要和下面說到的注冊表鍵值保持一致即可),內(nèi)容如下:
start FUCKIGM.exe (呵呵���,夠簡單吧?)
3、修改注冊表鍵值���,將userinit.exe改為userinit.bat。內(nèi)容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
””Userinit””=””C:WINDOWSsystem32userinit.bat
