機器狗

電腦病毒

2007年,一種可以穿透各種還原軟體與硬體還原卡的機器狗病毒異常肆虐。此病毒通過pcihdd.sys驅動文件搶佔還原軟體的硬碟控制權。並修改用戶初始化文件userinit.exe來實現隱藏自身的目的。此病毒為一個典型的網路架構木馬型病毒,病毒穿透還原軟體后將自己保存在系統中,定期從指定的網站下載各種木馬程序來截取用戶的帳號信息。通過對病毒樣本進行分析,研判此病毒極有可能為硬碟保護業內或者網吧業內的技術人員所開發,並主要針對網吧用戶。而且日前傳播的病毒版本仍然為帶有調試信息的工程測試版本,更成熟的版本相信會更具備破壞力。

描述


機器狗[電腦病毒]
機器狗[電腦病毒]
該病毒大都在網吧等大型的電腦網路會比較流行,一般在個人電腦不容易中此病毒,現在大多殺毒軟體都可以查殺該病毒。

計算機病毒


機器狗的生前身後,曾經有很多人說有穿透還原卡、冰點的病毒,但是在各個論壇都沒有樣本證據,直到2007年8月29日終於有人在社區里貼出了一個樣本。這個病毒沒有名字,圖標是SONY的機器狗阿寶,就像前輩熊貓燒香一樣,大家給它起了個名字叫機器狗。
工作原理
機器狗本身會釋放出一個pcihdd.sys到drivers目錄,pcihdd.sys是一個底層硬碟驅動,提高自己的優先順序接替還原卡或冰點的硬碟驅動,然後訪問指定的網址,這些網址只要連接就會自動下載大量的病毒與惡意插件。然後修改接管啟動管理器,最可怕的是,會通過內部網路傳播,一台中招,能引發整個網路的電腦全部自動重啟。
重點是,一個病毒,如果以hook方式入侵系統,接替硬碟驅動的方式效率太低了,而且毀壞還原的方式這也不是最好的,還有就是這種技術應用範圍非常小,只有還原技術廠商範圍內有傳播,在這方面國際上也只有中國在用,所以,很可能就是行業內訌。
對於網吧而言,機器狗就是劍指網吧而來,針對所有的還原產品設計,可預見其破壞力很快會超過熊貓燒香。好在現在很多免疫補丁都已出現,發稿之日起,各大殺毒軟體都可以查殺。
免疫補丁之爭
現在的免疫補丁之數是疫苗形式,以無害的樣本複製到drivers下,欺騙病毒以為本身已運行,起到阻止危害的目的。這種形式的問題是,有些用戶為了自身安全會在機器上運行一些查毒程序(比如360安全衛士之類)。這樣疫苗就會被誤認為是病毒,又要廢很多口舌。
解決之道
最新的解決方案是將system32/drivers目錄單獨分配給一個用戶,而不賦予administror修改的許可權。雖然這樣能解決,但以後安裝驅動就是一件頭疼的事了。
來徹底清除該病毒,處理后重啟一下電腦就可以了,之前要打上補丁!
或者這樣:
1註冊表,組策略中禁止運行userinit.exe 進程
2 在啟動項目中加入批處理
A : 強制結束userinit.exe進程 Taskkill /f /IM userinit.exe (其中“/IM”參數後面為進程的圖像名,這命令只對XP用戶有效)
B : 強制刪除userinit.exe文件 DEL /F /A /Q %SystemRoot%\system32\userinit.exe
C : 創建userinit.exe免疫文件到%SystemRoot%\system32\
命令:md %SystemRoot%\system32\userinit.exe >nul 2>nul
或者 md %SystemRoot%\system32\userinit.exe
attrib +s +r +h +a %SystemRoot%\system32\userinit.exe
D : reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe" /v debugger /t reg_sz /d debugfile.exe /f
userinit1.exe是正常文件改了名字,多加了一個1,你也可以自己修改,不過要手動修改這4個註冊表,並導出,這個批處理才能正常使用。
最新動向
好像機器狗的開發己停止了,從樣本放出到現在也沒有新的版本被發現,這到讓我們非常擔心,因為隨著研究的深入,現在防禦的手段都是針對病毒工作原理的,一旦機器狗開始更新,稍加改變工作原理就能大面積逃脫普遍的防禦手段,看來機器狗的爆發只是在等待,而不是大家可以高枕了。
目前網上流傳一種叫做機器狗的病毒,此病毒採用hook系統的磁碟設備棧來達到穿透目的的,危害極大,可穿透目前技術條件下的任何軟體硬體還原!基本無法靠還原抵擋。目前已知的所有還原產品,都無法防止這種病毒的穿透感染和傳播。
機器狗是一個木馬下載器,感染後會自動從網路上下載木馬、病毒,危及用戶帳號的安全。
機器狗運行後會釋放一個名為PCIHDD.SYS的驅動文件,與原系統中還原軟體驅動進行硬碟控制權的爭奪,並通過替換userinit.exe文件,實現開機啟動。
>> 那麼如何識別是否已中毒呢?
是否中了機器狗的關鍵就在 Userinit.exe 文件,該文件在系統目錄的 system32 文件夾中,點擊右鍵查看屬性,如果在屬性窗口中看不到該文件的版本標籤的話,說明已經中了機器狗。如果有版本標籤則正常。
臨時解決辦法:
一是在路由上封IP:
ROS腳本,要的自己加上去
/ ip firewall filter
add chain=forward content=yu.action=reject comment="DF6.0"
add chain=forward content=www. action=reject
二是在c:\windows\system32\drivers下建立免疫文件: pcihdd.sys ,
三是把他要修改的文件在做母盤的時候,就加殼並替換。
在%systemroot%\system32\drivers\目錄下建立一個名為“pcihdd.sys ”的文件夾,設置屬性為“任何人禁止”
批處理
1、md %systemroot%\system32\drivers\pcihdd.sys
2、cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
3、cacls %systemroot%\system32\userinit.exe /e /p everyone:r
4、exit
目前,網路流行以下解決方法,或者可以在緊急情況下救急:
1、首先在系統system32下複製個無毒的userinit.exe,文件名為FUCKIGM.exe(文件名可以任意取),這就是下面批處理要指向執行的文件!也就是開機啟動userinit.exe的替代品!而原來的userinit.exe保留!其實多複製份的目的只是為了多重保險!可能對防止以後變種起到一定的作用。
2、創建個文件名為userinit.bat的批處理(文件名也可任意取,但要和下面說到的註冊表鍵值保持一致即可),內容如下:
start FUCKIGM.exe (呵呵,夠簡單吧?)
3、修改註冊表鍵值,將userinit.exe改為userinit.bat。內容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.bat,"
就這3步,讓這條狗再也凶不起來!這是在windows 2003測試的,雙擊機器狗后,沒什麼反應,對比批處理也是正常,即這狗根本沒改動它!開關機遊戲均無異常!但唯一美中不足的是,採用經典模式開機的啟動時會出現個一閃而過的黑框!
如果嫌麻煩,也不要緊。上面三條批處理網友已搞好了,直接複製下面的這個存為批處理執行就OK了。三步合二為一
@echo off
:::直接複製系統system32下的無毒userinit.exe為FUCKIGM.exe
cd /d %SystemRoot%\system32
copy /y userinit.exe FUCKIGM.exe >nul
:::創建userinit.bat
echo @echo off >>userinit.bat
echo start FUCKIGM.exe >>userinit.bat
:::註冊表操作
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit / t REG_SZ /d "C:\WINDOWS\system32\userinit.bat," /f >nul
:::刪掉自身(提倡環保)
del /f /q %0
當然,如果實在不行,下載程序killigm。然後直接解壓運行裡面的程序:機器狗免疫補丁.bat 執行就可以了.
網上流傳的另一種新的變種的防止方法 :
開始菜單運行。輸入CMD
cd ……到drivers
md pcihdd.sys
cd pcihdd.sys
md 1...\
可防止最新變種。請注意:此法只能是防止,對於殺機器狗還得靠最新的殺毒程序才行。
針對該病毒,反病毒專家建議廣大用戶及時升級殺毒軟體病毒庫,補齊系統漏洞,上網時確保打開“網頁監控”、“郵件監控”功能;禁用系統的自動播放功能,防止病毒從U盤、MP3、移動硬碟等移動存儲設備進入到計算機;登錄網游賬號、網路銀行賬戶時採用軟鍵盤輸入賬號及密碼

病毒特徵


1:新版本“機器狗”病毒採用VC++ 6.0編寫,老版本“機器狗”病毒採用彙編編寫。
2:新版本“機器狗”病毒採用UPX加殼,老版本“機器狗”病毒採用未知殼。
3:新版本“機器狗”病毒驅動文件很小(1,536 位元組),老版本“機器狗”病毒驅動文件很大(6,768 位元組)。
4:新版本“機器狗”病毒安裝驅動后沒有執行卸載刪除操作,老版本“機器狗”病毒安裝驅動工作完畢後會卸載刪除。
5:新版本“機器狗”病毒針對的是系統“conime.exe”、“ctfmon.exe”和“explorer.exe”程序文件,老版本“機器狗”病毒只針對系統“userinit.exe”文件。
6:新版本“機器狗”病毒沒有對註冊表進行操作,老版本“機器狗”病毒有對註冊表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”項進行操作(感覺該操作沒必要,因為重新啟動系統后,“還原保護程序”系統會將其還原掉)。
7:新版本“機器狗”病毒去到系統dllcache文件夾下調用真實系統文件運行,老版本“機器狗”病毒沒有到系統dllcache文件夾下調用真實系統文件運行。
8:新版本“機器狗”病毒採用的是控制台程序圖標,老版本“機器狗”病毒採用的是黑色機器小狗圖案的圖標。
大概列舉出來了上邊的幾點,經過仔細分析它們的工作原理和編碼風格后,可以推測出新版本“機器狗”病毒和老版本“機器狗”病毒決對不是出自一個人之手。

錯誤糾正


在此要糾正兩個技術性的問題,網路上流傳的一些關於分析“機器狗”病毒(新、老版本)的部分文章中,有兩處表達錯誤的地方。
第一處是:在那些分析文章中所提到“‘機器狗’病毒會破壞‘還原保護程序’系統,使其還原功能失效”。其實,從概念的理解上來講述,那些表達都是錯誤的,是讓人理解不清晰的,會嚴重誤導讀者。正確的表述應該是這樣的:“‘機器狗’病毒並沒有破壞‘還原保護程序’系統,也沒有使其還原功能失效。只是安裝了一個病毒自己的磁碟過濾驅動去操作真實的磁碟I/O埠,向真實的磁碟中執行修改覆蓋“C:\windows\explorer.exe”目標文件(文件名是病毒作者定義的,不固定、會變。但肯定的是,真實磁碟中是存在該文件的。並且病毒運行后,一般只會修改覆蓋一個真實磁碟中的系統文件,再不會去破壞其它真實磁碟中的文件)操作。雖然‘機器狗’病毒運行後下載了很多其它惡意程序並安裝運行,但重新啟動計算機后,這些都會被‘還原保護程序’系統還原掉的,只是唯一那個被修改覆蓋的真實磁碟文件沒有被還原。如果發現重新啟動計算機后,系統中依然有一大堆病毒在運行。其實,這些都是系統重新啟動后,由那個被修改覆蓋后的系統程序全部重新下載回來並安裝運行的惡意程序。也就是說,每次重新啟動計算機,都要重新下載安裝一次所有的其它惡意程序”。
第二處是:在那些分析文章中所提到“‘機器狗’病毒會替換系統中的正常程序‘conime.exe’、‘ctfmon.exe’、‘explorer.exe’或‘userinit.exe’”或“‘機器狗’病毒會感染系統中的正常程序‘conime.exe’、‘ctfmon.exe’、‘explorer.exe’或‘userinit.exe’”。其實,從概念的理解上來講述,那些表達都是錯誤的,是讓人理解不清晰的,會嚴重誤導讀者。正確的表述應該是這樣的:“‘機器狗’病毒並不是替換了系統中的那些正常文件,而是針對那些正常文件在硬碟中所存放的真實物理地址進行以覆蓋的方式去寫入相應的惡意數據。大家可以找來正常的系統文件‘explorer.exe’、被病毒修改覆蓋后的系統文件‘explorer.exe’和病毒釋放出來的惡意程序‘tmp281.tmp’。對比它們內部數據代碼後會發現,被病毒修改後的系統文件‘explorer.exe’的前部分數據代碼和”病毒釋放出來的惡意程序‘tmp281.tmp’文件的數據代碼是完全相同的,而後邊的數據代碼依然是正常系統文件‘explorer.exe’後邊的數據代碼。”。
簡單的概念解釋:
替換:把原目標程序的數據代碼全部清除掉,用新程序的數據代碼來代替以前的整個程序。這樣,替換后的程序只有新程序的功能。
感染:在不破壞原目標程序數據代碼的前提下,向原目標程序的數據代碼中追加上新程序的數據代碼。這樣,感染后的程序既有原目標程序的功能,又有新程序的功能。
覆蓋:從原目標程序數據代碼的文件頭0地址處開始,向後依次執行覆蓋寫入新程序的數據代碼操作,我們這裡只假設原目標程序文件遠遠大於新程序。這樣,覆蓋后的程序只執行新程序的功能,雖然原目標程序的數據代碼還存在一部分,但由於沒有被調用,所以不會執行。

總結


上邊所指的“還原保護程序”為利用磁碟過濾驅動技術編寫而成的系統還原保護程序,出名一點的軟體有“冰點還原精靈”和“影子系統”等。也就是說,就算用戶計算機安裝了上邊這樣的“還原保護程序”,只要是中了“機器狗”一類利用穿“還原保護程序”技術的病毒,就算您重新啟動計算機了,但被修改的那個文件“explorer.exe”也是依然不會被還原的,因為病毒的惡意代碼已經覆蓋進了這個真實的磁碟文件中。
目前的“機器狗”一類利用穿“還原保護程序”技術的病毒有一個致命的軟肋,那就是他們所覆蓋的真實系統文件在重新啟動計算機后一定要自啟動運行,不然就失去病毒存在的意義了。現今的“機器狗”病毒都只是能夠穿透磁碟保護的,並穿透不了註冊表(無法在註冊表中保存添加或修改後的數據信息),這個就是它最大的缺陷。其實,註冊表數據信息也是以文件的形式保存在磁碟中的,下一代“機器狗”病毒可能會實現穿透註冊表的功能,等那個時候,可能就很難防範了。這還是不算什麼的,下下一代的“機器狗”病毒可能會利用自己的磁碟過濾驅動去感染真實硬碟下的PE文件,相當的恐怖啊!!
一旦感染了該版本的“機器狗”病毒,它不僅僅可以穿透“還原保護程序”,真實系統也一樣會中毒。因為病毒修改覆蓋了真實的系統文件“C:\windows\explorer.exe”。所以每次重新啟動計算機后,被修改覆蓋的系統程序“C:\windows\explorer.exe”它都會在被感染計算機的後台連接網路下載駭客事先定義好的下載列表中的全部惡意程序並自動調用運行。那麼如果中該病毒的用戶比較多,幾萬台計算機同時啟動,駭客的下載伺服器會掛掉嗎?呵呵~!!

問題及回答


問題1:這個最新的機器狗變種,是否與你12月19日發的病毒播報中的機器狗變種是同一個病毒?
回答:不是同一個病毒,只是工作原理十分的相似而已。經過仔細分析它們的工作原理和編碼風格后,可以推測出新版本“機器狗”病毒和老版本“機器狗”病毒決對不是出自一個人之手。
問題2:這個最新的機器狗變種是否功能更強大?強大在哪兒?與以往機器狗病毒的不同之處在哪兒?
回答:應該是相對的強大了些。對比“機器狗”一類新、老版本病毒的部分特徵如下:
問題3:機器狗病毒對網吧的影響很大,對個人用戶的影響有多少?
回答:個人用戶的影響與網吧的影響是同樣大的。因為不管計算機系統是否安裝“還原保護系統”程序,都會同樣下載非常多的(目前是下載27個惡意程序)網路遊戲盜號木馬等惡意程序進行安裝運行,從而給被感染計算機用戶帶去一定的損失。如果“用戶計算機硬體配置比較低”或者“存在所下載的多個惡意程序中出現相互不兼容現象”的話,會導致用戶計算機系統崩潰掉無法啟動運行。

殺毒方法


·手動殺毒方法
1:結束掉被病毒修改覆蓋后的“C:\windows\explorer.exe”程序進程,刪除該程序文件。
2:也許系統會自動還原回來一個正常的“explorer.exe”桌面程序,如果沒有還原的話,我們可以手動把“C:\windows\system32\dllcache\”下的“explorer.exe”文件拷貝到“C:\windows\”下。
3:手動卸載掉病毒惡意驅動程序“phy.sys”文件。可以在註冊表中找到病毒惡意驅動程序“phy.sys”的啟動關聯位置然後刪除,接著再刪除掉“C:\windows\system32\DRIVERS\phy.sys”文件。我實際試過N次這種方法,針對該病毒決定好使。
4:重新啟動計算機后,一切就都會變為正常了。但是該新版的“機器狗”病毒會下載27個(不固定)惡意程序到被感染計算機中安裝運行,這些病毒可以安裝江民公司的KV2008去查殺,效果很不錯。
· 超級巡警之機器狗病毒專殺v1.3:
本工具可檢測並查殺機器狗病毒,可穿透機器狗所能穿透的還原系統來修復被感染的文件。本工具還具有免疫的功能,針對已知機器狗變種進行免疫,防止再次感染。另外,可使用命令行方式進行殺毒,便於自動化操作,建議網吧等場所設置為開機自動殺毒,減少重複作業。
下載地址:
http://download.pchome.net/utility/antivirus/trojan/detail-81071.html
http://update4.dswlab.com/RodogKiller1.3.zip
· 360安全衛士:
目前檢測查殺機器狗病毒最有效的工具,機器狗本身下載的都是木馬和後門攻擊,360安全衛士毫無疑問是最好的查殺木馬防禦木馬的最好軟體。
下載地址:
http://www.360.cn

變種


08機器狗變種一:注入"explorer.exe"進程
Explorer.exe機器狗-分析(逆向工程)
文章末尾所添加的機器狗、IGM、寫穿還原的工具
樣本脫殼
OD載入樣本explorer.exe,
對GetModuleHandleA下斷,參數為NULL時即為入口點處對此函數的調用,
退出CALL之後可以得到入口為 004016ED。
重新載入樣本,對004016ED下內存寫入斷點,中斷後StepOver一步,然後在004016ED
下斷點,F9運行到入口,DUMP。DUMP之後不關閉OD,讓樣本處於掛起狀態,使用ImportREC修復DUMP
出來的文件的導入表。
修復之後DUMP出來的文件用OD載入出錯,使用PEDITOR的rebuilder功能重建PE之後即可用OD載入,說明
脫殼基本成功,但資源部分仍有問題,無法用Reshacker查看
pcihdd.sys的提取
OD載入樣本explorer.exe,設置有新模塊載入時中斷,F9運行
當ADVAPI32.DLL載入時,對CreateServiceA下斷點,F9運行
當CreateServiceA中斷時,即可提取出pcihdd.sys
pcihdd.sys基本流程如下
1)檢查IDT的09(NPX Segment Overrun)和0E(Page Fault )處理程序的地址
如果09號中斷處理程序存在,並且處理程序地址的高8位與0E處理程序高8位不同,則把
IDT中0E的高16位設為0。估計是檢查0E是不是被HOOK了
我比較齷齪,看不懂這些操作的意思,這樣不BSOD?請懂的兄弟跟帖告訴一聲
2)通過搜索地址來查找自己的載入地址
查找驅動文件的資源中的1000/1000,並複製到一個全局緩衝區中
3)創建了\Device\PhysicalHardDisk0及其符號連接\DosDevices\PhysicalHardDisk0
4)只對IRP_MJ_CREATE
IRP_MJ_CLOSE
IRP_MJ_DEVICE_CONTROL
作出響應
其中IRP_MJ_CREATE中會斷開\Device\Harddisk0\DR0上附加的設備。這個操作會使磁碟過濾驅動、文件系統
驅動(OS提供的,
但一些殺毒軟體
也通過此渠道進行文件系統監控)及其上的文件系統過濾驅動(大多數文件訪問控制和監控
都是這個層次的)無效
在IRP_MJ_CLOSE 中對恢復DR0上的附加
在IRP_MJ_DEVICE_CONTROL中對0xF0003C04作出響應,只是把2)中找到的資源數據解密后返回到應用程序。
解密密鑰是通過應用程序傳入的一個串(密鑰種子?)查表后產生(KEY:0x3f702d98)
0xF0003C04的作用:
將用戶態傳入的整個代碼體作為密鑰種子對這個代碼體進行類似於校驗和的運算后得
到4位元組的解密KEY,然後使用此解密key將驅動自身攜帶的資源解密(僅僅是XOR),將解密
結果返回給用戶態。
關於解除DR0上的附加設備:
這種操作應該會影響系統正常的文件系統操作,但是因為實際操作時此驅動被打開和關閉的的間隔很短,所以應該
不會有明顯影響。
explorer.exe流程
1、釋放資源中的pcihdd.sys並創建名為pcihdd的服務,啟動服務
2、定位userinit.exe在硬碟中的位置。定位方法如下
1)通過FSCTL_GET_RETRIEVAL_POINTERS獲取文件數據的分佈信息
2)通過直接訪問硬碟(\\.\PhysicalHardDisk0)的的MDR和
第一個分區的引導扇區得到分區參數(每簇扇區數),配合1)中得到的信息
來定位文件在硬碟上的絕對偏移量。
這裡有個小BUG,扇區大小是使用固定的512位元組而不是從引導扇區中獲取
3)通過對比ReadFile讀取的文件數據和自己定位后直接
讀取所得到的文件數據,確定定位是否正確
3、把整個代碼體作為參數傳遞給pcihdd.sys,控制碼0xF0003C04,並將pcihdd返回
的數據直接寫入userinit.exe的第一簇
被修改後的userinit.exe
1)查詢SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的Shell鍵值
2)創建Shell進程
3)等待網路鏈接,當網路鏈接暢通后,則從http://yu.8s7.net/cert.cer下載列表
4)對於列表中的文件每個文件,創建一個新線程下載並執行,線程計數加一(INC)
5)等待所有線程結束后(線程計數為0)結束進程。
對於線程計數的操作並不是原子操作,理論上多CPU情況下有小的概率出問題。
不過人家是寫針對普通PC的病毒,多CPU不常見,也不需要穩定
文中所指的病毒就是一般說的新AV終結者
機器狗:http://www.esfast.net/downs/explorer.rar
IGM:http://www.esfast.net/downs/IGM.rar
寫穿還原的工具:http://www.esfast.net/downs/SectorEditor.zip
目前防護辦法可以選用新的第三代還原軟體。
08機器狗變種二:注入"spoolsv.exe"進程
0、檢查explorer.exe、spoolsv.exe是否有ntfs.dll模塊,並查找“ssppoooollssvv”字元串(互斥體)
如果發現,則退出。
1、首先啟動一個進程:spoolsv.exe,這是一個列印服務相關的進程。
即便是禁用系統的列印服務,它仍然可以由機器狗啟動。
從任務管理器可以發現,這是一個當前用戶級的許可權,很容易區別
2、臨時文件夾和%SystemRoot%\system32\drivers\釋放Ntfs.dll。
並嘗試注入spoolsv.exe。測試時沒有實現。
3、根據病毒體內的加密字元串解密:
10004180=userinit.10004180 (ASCII "NB0dDqN55bCYi1jO4jtulzpa2G3iC244")(ecx)
77C178C0 8B01 mov eax, dword ptr ds:[ecx]
77C178C2 BA FFFEFE7E mov edx, 7EFEFEFF
77C178C7 03D0 add edx, eax
77C178C9 83F0 FF xor eax, FFFFFFFF
77C178CC 33C2 xor eax, edx
77C178CE 83C1 04 add ecx, 4 \循環
77C178D1 A9 00010181 test eax, 81010100
每次取雙位元組,與7EFEFEFF相加。(Edx)
再將雙位元組內的數據和FFFFFFFF異或(Eax)
然後xor eax, edx
最後解密得:hXXp://a1.av.gs/tick.asp
從這個網站獲得urlabcdown.txt。讀取裡面的內容:
http://down.malasc.cn/plmm.txt
最後下載27盜號木馬,品種還是比較齊的,大話、夢幻、機戰、奇迹、傳奇、QQ、QQgame等。
釋放路徑是:%SystemRoot%\system32\drivers。
4、載入驅動%SystemRoot%\system32\drivers\puid.sys:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\puid]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,70,00,75,00,69,00,64,00,2e,00,73,\
00,79,00,73,00,00,00
"DisplayName"="puid"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\puid\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\puid\Enum]
"0"="Root\LEGACY_PUID\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
並釋放iefjsdfas.txt,裡面記錄一些puid.sys信息。
如果iefjsdfas.txt裡面的內容和實際的不符合,可能判斷為puid.sys是免疫文件夾或無效文件。
這時候它可能會刪除這個文件,再重新載入。
(未證實,我禁止了它的驅動載入)
5、記錄一個進程快照,每隔30秒執行一次。如果發現以下字元串則結束:
antiarp.exe
360tray.exe
360Safe.exe
6、另外那個puid.sys可能會修改userinit.exe達到穿透還原的目的。
08機器狗變種三:注入"conime.exe"進程
conime.exe是輸入法編輯器相關程序,早期用來傳播igm病毒,現在也成為機器狗的載體。穿透后,成為一個木馬下載器病毒。
08機器狗變種四:注入"ctfmon.exe"進程
找不到~輸入法被的圖標沒有了,就是文字服務和輸入語言->高級->關閉高級文字服務 那裡打勾了~怎麼去也去不掉。
還找到了病毒下載其他病毒木馬的地址列表文件:C:\WINDOWS\system32\tutility.txt
推薦使用金山毒霸2008(http://www1.duba2008.org.cn)殺毒軟體提供的機器狗專殺工具:http://bbs.duba.net/attachment.php?aid=16065774
及手動修復方法:http://bbs.duba.net/viewthread.php?tid=21843365&highlight=

變種病毒


殺毒方法:
刪除以下文件
可以使用icesword,wsyscheck,autoruns等軟體
啟動項目:
註冊表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<>
<>
<>
<>
<>
<>
<>
<>
1、==================================
驅動程序
[msskye / msskye][Running/Auto Start]
進程里的項目太多,直接寫在處理方法里
下載XDELBOX
使用方法:
在XDELBOX中添加:
C:\WINDOWS\system32\ijougiemnaw.dll
C:\WINDOWS\system32\iqnauhc.dll
C:\WINDOWS\system32auhad.dll
C:\WINDOWS\system32\xhtd.dll
C:\WINDOWS\system32\uohsom.dll
C:\WINDOWS\system32\uyom.dll
C:\WINDOWS\system32\gnolnait.dll
C:\WINDOWS\system32\oadnew.dll
C:\WINDOWS\system32\auhad.dll
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\HDDGuard.dll
C:\WINDOWS\system32\jhrcar.dll
C:\WINDOWS\system32\jhfrxz.dll
C:\WINDOWS\system32\fmcvxy.dll
C:\WINDOWS\system32\dhyszj.dll
C:\WINDOWS\system32\zjydcx.dll
C:\WINDOWS\system32\sgrefg.dll
C:\WINDOWS\system32\mfdesy.dll
C:\WINDOWS\system32\DRIVERS\msaclue.sys
右鍵XDELBOX選“立即重啟刪除”
XDELBOX會自動重啟刪除以上病毒文件
再次重啟時按F8進入安全模式
用SREng刪除以上有問題的註冊表項、驅動
-------------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------------
最新機器狗 現在暫時還沒有解決的辦法!包括微軟 百分之九十的還原被穿透
1.主病毒(mm.exe)運行后,釋放如下文件:
程序代碼
C:\WINDOWS\system32\drivers\pcihdd2.sys
C:\WINDOWS\system32\lssass.exe
註冊服務DeepFree Update 指向C:\WINDOWS\system32\drivers\pcihdd2.sys 並載入這個驅動 這個驅動即為機器狗的驅動
之後會替換userinit.exe文件
2.之後mm.exe啟動C:\WINDOWS\system32\lssass.exe 至此mm.exe(即機器狗)退出 大權交給lssass.exe
3.lssass.exe運行后,釋放如下文件
C:\WINDOWS\system32\drivers\ati32srv.sys
註冊服務ATI2HDDSRV 指向ati32srv.sys 並載入這個驅動 該驅動可以恢復系統的SSDT表 使得殺毒軟體的API hook完全失效...很多殺毒軟體的“主動防禦”和“自我保護”功能也因此失效
4.調用cmd.exe把KvTrust.dll,UrlGuard.dll,antispy.dll,safemon.dll,ieprot.dll重命名為tmp%d.temp的格式
5.結束很多安全軟體進程
程序代碼
avp.com
avp.exe
runiep.exe
PFW.exe
FYFireWall.exe
rfwmain.exe
rfwsrv.exe
KAVPF.exe
KPFW32.exe
nod32kui.exe
nod32.exe
Navapsvc.exe
Navapw32.exe
avconsol.exe
webscanx.exe
NPFMntor.exe
vsstat.exe
KPfwSvc.exe
Ras.exe
RavMonD.exe
mmsk.exe
WoptiClean.exe
QQKav.exe
QQDoctor.exe
EGHOST.exe
360Safe.exe
iparmo.exe
adam.exe
IceSword.exe
360rpt.exe
360tray.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
KAV32.exe
nod32krn.exe
PFWLiveUpdate.exe
QHSET.exe
RavMonD.exe
RavStub.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.EXE
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
procexp.exe
OllyDBG.EXE
OllyICE.EXE
rfwstub.exe
RegTool.exe
rfwProxy.exe
6.映像劫持幾乎上面所有安全軟體指向“ntsd -d”
7.啟動IE進行下載工作,首先會讀取ht tp://xtx.×××.info/images/xin.txt比較
裡面的VERSION信息 如果發現不是最新版本 則下載最新版本 具有自我更新功能
8.之後繼續讀取下面的下載信息 下載木馬
目前下載的病毒地址為
程序代碼
ht tp://2.×××.info/xm/aa1.exe~http://2.×××.info/xm/aa13.exeht tp://444.××××××××.com/xm/aa14.exe~http://444.××××××××.com/xm/aa26.exe
病毒木馬植入完畢后的sreng日誌如下(本例中均假設系統裝在C盤下)
啟動項目
註冊表
程序代碼
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[]
[]
[]
[]
[]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<> []
<> []
<> []
<> []
<> []
==================================
驅動程序
程序代碼
[ATI2HDDSRV / ATI2HDDSRV][Running/Manual Start]
<\??\C:\WINDOWS\system32\drivers\ati32srv.sys>
[DeepFree Update / DeepFree Update][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\pcihdd2.sys>
[msskye / msskye][Running/Auto Start]
==================================
正在運行的進程
程序代碼
[PID: 1452][C:\WINDOWS\system32\userinit.exe] [N/A, ]
[C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]
[PID: 1472][C:\windows\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\JAA-JAA-1032.dll] [N/A, ]
[C:\WINDOWS\system32\RAA_RAA_1002.dll] [N/A, ]
[C:\WINDOWS\Fonts\gjcsdyc.dll] [N/A, ]
[C:\WINDOWS\system32\QAB_QAB_1011.dll] [N/A, ]
[C:\WINDOWS\system32\IIA-IIA-1030.dll] [N/A, ]
[C:\WINDOWS\wlqirtuk.dll] [N/A, ]
[C:\WINDOWS\dcadmqws.dll] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\WSockDrv32.dll] [N/A, ]
[C:\WINDOWS\system32\LotusHlp.dll] [N/A, ]
[C:\WINDOWS\system32\PTSShell.dll] [N/A, ]
[C:\WINDOWS\system32\SHAProc.dll] [N/A, ]
[C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]
...
補充:netguy_updatefile.exe 在啟動項里添加netguy_updatefile.exe程序,開機下病毒
機器狗木馬病毒介紹:
機器狗木馬病毒是用一個C語言編寫的木馬病毒。病毒運行後會刪除系統目錄下的userinit.exe,並建立一個包含病毒的userinit.exe,隨系統每次啟動時載入到系統中。此文件運行後會在系統的SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加一
系列反病毒軟體和安全工具的鍵值,使這些軟體和工具無法正常運行。另外病毒還會嘗試注入IE進程通過網際網路下載病毒的更新,達到躲避查殺與偵測的目的。
機器狗病毒的判斷方法:
方法1:打開C:\WINDOWS\system32文件夾(或打開系統對應目錄),找到userinit.exe、explorer.exe點擊右鍵查看文件的屬性,若在屬性窗口中看不到文件的版本標籤則說明該文件已經被病毒替換系統已經染毒。
方法2:雙擊瑞星殺毒軟體的快捷方式,以及卡卡上網安全助手的快捷方式,沒有任何反應(不是窗口打開后迅速關閉或報錯崩潰)。

木馬專殺工具


版本:V5.2版 大小:720KB
立即下載機器狗專殺
中毒癥狀:
如果360無法打開或者打開之後被關閉,系統變的非常慢,系統時間莫名其妙被更改.\"我的電腦\"的圖標不正確,輸入法無法打開,說明可能中了機器狗。
如果打開C:\\WINDOWS\\system32文件夾(如果您的系統不在c盤安裝,請找到對應的目錄),找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe文件,點擊右鍵查看屬性,如果在屬性窗口中看不到文件的版本標籤的話,說明已經中了機器狗。
機器狗木馬病毒簡介:
機器狗,是一種病毒下載器,它可以給用戶的電腦下載大量的木馬、病毒、惡意軟體、插件等。一旦中招,用戶的電腦便隨時可能感染任何木馬、病毒,這些木馬病毒會瘋狂地盜用用戶的隱私資料(如帳號密碼、私密文件等),也會破壞操作系統,使用戶的機器無法正常運行,它還可以通過內部網路傳播、下載U盤病毒和Arp攻擊病毒,能引發整個網路的電腦全部自動重啟。對於網吧而言,機器狗就是劍指網吧而來,針對所有的還原產品設計,其破壞力可能會很快會超過熊貓燒香。
機器狗工作原理:
機器狗工作原理:機器狗本身會釋放出一個pcihdd.sys到drivers目錄,pcihdd.sys是一個底層硬碟驅動,提高自己的優先順序接替還原卡或冰點的硬碟驅動,然後訪問指定的網址,這些網址只要連接就會自動下載大量的病毒與惡意插件。
從物理上根本解決機器狗病毒.
通過殺毒軟體的方法防禦機器狗病毒,可以說是治標不治本的。因為殺軟升級,病毒也會升級,因此需要無休止的打補丁,對於
多電腦的計算機機房來說,無疑的帶來了巨大的工作量。因此通過純硬體的方式來解決機器狗病毒,是最根本的,從物理上解決機器狗病毒的方法。邏輯與物理的區別就在與此。藍芯防毒卡的研發成功,對解決機器狗病毒,可以說是起到的巨大貢獻,突破了原有的傳統的保護卡技術,通過最基本的底層入手,硬碟數據線直接連到卡上,直接接管硬碟,讓受到保護的分區的數據免受各種已知的病毒(包括機器狗病毒)或未知病毒的侵擾。
機器狗病毒也是一種軟體而已,而我們是硬碟物理上的最後一道門,所以,不論病毒技術如何改進,要破壞數據都不得不通過這最後一道門。而這道門又在我們的掌握中,所以,未知的病毒只要還是軟體就無法破壞。