機器狗[電腦病毒]

機器狗[電腦病毒]

2007年,一種可以穿透各種還原軟體與硬體還原卡的機器狗病毒異常肆虐。此病毒通過pcihdd.sys驅動檔案搶占還原軟體的硬碟控制權。並修改用戶初始化檔案userinit.exe來實現隱藏自身的目的。此病毒為一個典型的網路架構木馬型病毒,病毒穿透還原軟體後將自己保存在系統中,定期從指定的網站下載各種木馬程式來截取用戶的帳號信息。 通過對病毒樣本進行分析,研判此病毒極有可能為硬碟保護業內或者網咖業內的技術人員所開發,並主要針對網咖用戶。而且日前傳播的病毒版本仍然為帶有調試信息的工程測試版本,更成熟的版本相信會更具備破壞力。

描述

機器狗[電腦病毒] 機器狗[電腦病毒]

該病毒大都在網咖等大型的電腦網路會比較流行,一般在個人電腦不容易中此病毒,現在大多防毒軟體都可以查殺該病毒。

計算機病毒

機器狗的生前身後,曾經有很多人說有穿透還原卡、冰點的病毒,但是在各個論壇都沒有樣本證據,直到2007年8月29日終於有人在社區里貼出了一個樣本。這個病毒沒有名字,圖示是SONY的機器狗阿寶,就像前輩熊貓燒香一樣,大家給它起了個名字叫機器狗。

工作原理

機器狗本身會釋放出一個pcihdd.sys到drivers目錄,pcihdd.sys是一個底層硬碟驅動,提高自己的優先權接替還原卡或冰點的硬碟驅動,然後訪問指定的網址,這些網址只要連線就會自動下載大量的病毒與惡意外掛程式。然後修改接管啟動管理器,最可怕的是,會通過內部網路傳播,一台中招,能引發整個網路的電腦全部自動重啟。

重點是,一個病毒,如果以hook方式入侵系統,接替硬碟驅動的方式效率太低了,而且毀壞還原的方式這也不是最好的,還有就是這種技術套用範圍非常小,只有還原技術廠商範圍內有傳播,在這方面國際上也只有中國在用,所以,很可能就是行業內訌。

對於網咖而言,機器狗就是劍指網咖而來,針對所有的還原產品設計,可預見其破壞力很快會超過熊貓燒香。好在現在很多免疫補丁都已出現,發稿之日起,各大防毒軟體都可以查殺。

免疫補丁之爭

現在的免疫補丁之數是疫苗形式,以無害的樣本複製到drivers下,欺騙病毒以為本身已運行,起到阻止危害的目的。這種形式的問題是,有些用戶為了自身安全會在機器上運行一些查毒程式(比如360安全衛士之類)。這樣疫苗就會被誤認為是病毒,又要廢很多口舌。

解決之道

最新的解決方案是將system32/drivers目錄單獨分配給一個用戶,而不賦予administror修改的許可權。雖然這樣能解決,但以後安裝驅動就是一件頭疼的事了。

來徹底清除該病毒,處理後重啟一下電腦就可以了,之前要打上補丁!

或者這樣:

1註冊表,組策略中禁止運行userinit.exe 進程

2 在啟動項目中加入批處理

A : 強制結束userinit.exe進程 Taskkill /f /IM userinit.exe (其中“/IM”參數後面為進程的圖像名,這命令只對XP用戶有效)

B : 強制刪除userinit.exe檔案 DEL /F /A /Q %SystemRoot%\system32\userinit.exe

C : 創建userinit.exe免疫檔案到%SystemRoot%\system32\

命令:md %SystemRoot%\system32\userinit.exe >nul 2>nul

或者 md %SystemRoot%\system32\userinit.exe

attrib +s +r +h +a %SystemRoot%\system32\userinit.exe

D : reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe" /v debugger /t reg_sz /d debugfile.exe /f

userinit1.exe是正常檔案改了名字,多加了一個1,你也可以自己修改,不過要手動修改這4個註冊表,並導出,這個批處理才能正常使用。

最新動向

好像機器狗的開發己停止了,從樣本放出到現在也沒有新的版本被發現,這到讓我們非常擔心,因為隨著研究的深入,現在防禦的手段都是針對病毒工作原理的,一旦機器狗開始更新,稍加改變工作原理就能大面積逃脫普遍的防禦手段,看來機器狗的爆發只是在等待,而不是大家可以高枕了。

目前網上流傳一種叫做機器狗的病毒,此病毒採用hook系統的磁碟設備棧來達到穿透目的的,危害極大,可穿透目前技術條件下的任何軟體硬體還原!基本無法靠還原抵擋。目前已知的所有還原產品,都無法防止這種病毒的穿透感染和傳播。

機器狗是一個木馬下載器,感染後會自動從網路上下載木馬、病毒,危及用戶帳號的安全。

機器狗運行後會釋放一個名為PCIHDD.SYS的驅動檔案,與原系統中還原軟體驅動進行硬碟控制權的爭奪,並通過替換userinit.exe檔案,實現開機啟動。

>> 那么如何識別是否已中毒呢?

是否中了機器狗的關鍵就在 Userinit.exe 檔案,該檔案在系統目錄的 system32 資料夾中,點擊右鍵查看屬性,如果在屬性視窗中看不到該檔案的版本標籤的話,說明已經中了機器狗。如果有版本標籤則正常。

臨時解決辦法:

一是在路由上封IP:

ROS腳本,要的自己加上去

/ ip firewall filter

add chain=forward content=yu.action=reject comment="DF6.0"

add chain=forward content=www. action=reject

二是在c:\windows\system32\drivers下建立免疫檔案: pcihdd.sys ,

三是把他要修改的檔案在做母盤的時候,就加殼並替換。

在%systemroot%\system32\drivers\目錄下建立一個名為“pcihdd.sys ”的資料夾,設定屬性為“任何人禁止”

批處理

1、md %systemroot%\system32\drivers\pcihdd.sys

2、cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n

3、cacls %systemroot%\system32\userinit.exe /e /p everyone:r

4、exit

目前,網路流行以下解決方法,或者可以在緊急情況下救急:

1、首先在系統system32下複製個無毒的userinit.exe,檔案名稱為FUCKIGM.exe(檔案名稱可以任意取),這就是下面批處理要指向執行的檔案!也就是開機啟動userinit.exe的替代品!而原來的userinit.exe保留!其實多複製份的目的只是為了多重保險!可能對防止以後變種起到一定的作用。

2、創建個檔案名稱為userinit.bat的批處理(檔案名稱也可任意取,但要和下面說到的註冊表鍵值保持一致即可),內容如下:

start FUCKIGM.exe (呵呵,夠簡單吧?)

3、修改註冊表鍵值,將userinit.exe改為userinit.bat。內容如下:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\WINDOWS\system32\userinit.bat,"

就這3步,讓這條狗再也凶不起來!這是在windows 2003測試的,雙擊機器狗後,沒什麼反應,對比批處理也是正常,即這狗根本沒改動它!開關機遊戲均無異常!但唯一美中不足的是,採用經典模式開機的啟動時會出現個一閃而過的黑框!

如果嫌麻煩,也不要緊。上面三條批處理網友已搞好了,直接複製下面的這個存為批處理執行就OK了。三步合二為一

@echo off

:::直接複製系統system32下的無毒userinit.exe為FUCKIGM.exe

cd /d %SystemRoot%\system32

copy /y userinit.exe FUCKIGM.exe >nul

:::創建userinit.bat

echo @echo off >>userinit.bat

echo start FUCKIGM.exe >>userinit.bat

:::註冊表操作

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit / t REG_SZ /d "C:\WINDOWS\system32\userinit.bat," /f >nul

:::刪掉自身(提倡環保)

del /f /q %0

當然,如果實在不行,下載程式killigm。然後直接解壓運行裡面的程式:機器狗免疫補丁.bat 執行就可以了.

網上流傳的另一種新的變種的防止方法 :

開始選單運行.輸入CMD

cd ……到drivers

md pcihdd.sys

cd pcihdd.sys

md 1...\

可防止最新變種。請注意:此法只能是防止,對於殺機器狗還得靠最新的防毒程式才行。

針對該病毒,反病毒專家建議廣大用戶及時升級防毒軟體病毒庫,補齊系統漏洞,上網時確保打開“網頁監控”、“郵件監控”功能;禁用系統的自動播放功能,防止病毒從隨身碟、MP3、移動硬碟等移動存儲設備進入到計算機;登錄網遊賬號、網路銀行賬戶時採用軟鍵盤輸入賬號及密碼

病毒特徵

1:新版本“機器狗”病毒採用VC++ 6.0編寫,老版本“機器狗”病毒採用彙編編寫。

2:新版本“機器狗”病毒採用UPX加殼,老版本“機器狗”病毒採用未知殼。

3:新版本“機器狗”病毒驅動檔案很小(1,536 位元組),老版本“機器狗”病毒驅動檔案很大(6,768 位元組)。

4:新版本“機器狗”病毒安裝驅動後沒有執行卸載刪除操作,老版本“機器狗”病毒安裝驅動工作完畢後會卸載刪除。

5:新版本“機器狗”病毒針對的是系統“conime.exe”、“ctfmon.exe”和“explorer.exe”程式檔案,老版本“機器狗”病毒只針對系統“userinit.exe”檔案。

6:新版本“機器狗”病毒沒有對註冊表進行操作,老版本“機器狗”病毒有對註冊表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”項進行操作(感覺該操作沒必要,因為重新啟動系統後,“還原保護程式”系統會將其還原掉)。

7:新版本“機器狗”病毒去到系統dllcache資料夾下調用真實系統檔案運行,老版本“機器狗”病毒沒有到系統dllcache資料夾下調用真實系統檔案運行。

8:新版本“機器狗”病毒採用的是控制台程式圖示,老版本“機器狗”病毒採用的是黑色機器小狗圖案的圖示。

大概列舉出來了上邊的幾點,經過仔細分析它們的工作原理和編碼風格後,可以推測出新版本“機器狗”病毒和老版本“機器狗”病毒決對不是出自一個人之手。

錯誤糾正

在此要糾正兩個技術性的問題,網路上流傳的一些關於分析“機器狗”病毒(新、老版本)的部分文章中,有兩處表達錯誤的地方。

第一處是:在那些分析文章中所提到“‘機器狗’病毒會破壞‘還原保護程式’系統,使其還原功能失效”。其實,從概念的理解上來講述,那些表達都是錯誤的,是讓人理解不清晰的,會嚴重誤導讀者。正確的表述應該是這樣的:“‘機器狗’病毒並沒有破壞‘還原保護程式’系統,也沒有使其還原功能失效。只是安裝了一個病毒自己的磁碟過濾驅動去操作真實的磁碟I/O連線埠,向真實的磁碟中執行修改覆蓋“C:\windows\explorer.exe”目標檔案(檔案名稱是病毒作者定義的,不固定、會變。但肯定的是,真實磁碟中是存在該檔案的。並且病毒運行後,一般只會修改覆蓋一個真實磁碟中的系統檔案,再不會去破壞其它真實磁碟中的檔案)操作。雖然‘機器狗’病毒運行後下載了很多其它惡意程式並安裝運行,但重新啟動計算機後,這些都會被‘還原保護程式’系統還原掉的,只是唯一那個被修改覆蓋的真實磁碟檔案沒有被還原。如果發現重新啟動計算機後,系統中依然有一大堆病毒在運行。其實,這些都是系統重新啟動後,由那個被修改覆蓋後的系統程式全部重新下載回來並安裝運行的惡意程式。也就是說,每次重新啟動計算機,都要重新下載安裝一次所有的其它惡意程式”。

第二處是:在那些分析文章中所提到“‘機器狗’病毒會替換系統中的正常程式‘conime.exe’、‘ctfmon.exe’、‘explorer.exe’或‘userinit.exe’”或“‘機器狗’病毒會感染系統中的正常程式‘conime.exe’、‘ctfmon.exe’、‘explorer.exe’或‘userinit.exe’”。其實,從概念的理解上來講述,那些表達都是錯誤的,是讓人理解不清晰的,會嚴重誤導讀者。正確的表述應該是這樣的:“‘機器狗’病毒並不是替換了系統中的那些正常檔案,而是針對那些正常檔案在硬碟中所存放的真實物理地址進行以覆蓋的方式去寫入相應的惡意數據。大家可以找來正常的系統檔案‘explorer.exe’、被病毒修改覆蓋後的系統檔案‘explorer.exe’和病毒釋放出來的惡意程式‘tmp281.tmp’。對比它們內部數據代碼後會發現,被病毒修改後的系統檔案‘explorer.exe’的前部分數據代碼和”病毒釋放出來的惡意程式‘tmp281.tmp’檔案的數據代碼是完全相同的,而後邊的數據代碼依然是正常系統檔案‘explorer.exe’後邊的數據代碼。”。

簡單的概念解釋:

替換:把原目標程式的數據代碼全部清除掉,用新程式的數據代碼來代替以前的整個程式。這樣,替換後的程式只有新程式的功能。

感染:在不破壞原目標程式數據代碼的前提下,向原目標程式的數據代碼中追加上新程式的數據代碼。這樣,感染後的程式既有原目標程式的功能,又有新程式的功能。

覆蓋:從原目標程式數據代碼的檔案頭0地址處開始,向後依次執行覆蓋寫入新程式的數據代碼操作,我們這裡只假設原目標程式檔案遠遠大於新程式。這樣,覆蓋後的程式只執行新程式的功能,雖然原目標程式的數據代碼還存在一部分,但由於沒有被調用,所以不會執行。

總結

上邊所指的“還原保護程式”為利用磁碟過濾驅動技術編寫而成的系統還原保護程式,出名一點的軟體有“冰點還原精靈”和“影子系統”等。也就是說,就算用戶計算機安裝了上邊這樣的“還原保護程式”,只要是中了“機器狗”一類利用穿“還原保護程式”技術的病毒,就算您重新啟動計算機了,但被修改的那個檔案“explorer.exe”也是依然不會被還原的,因為病毒的惡意代碼已經覆蓋進了這個真實的磁碟檔案中。

目前的“機器狗”一類利用穿“還原保護程式”技術的病毒有一個致命的軟肋,那就是他們所覆蓋的真實系統檔案在重新啟動計算機後一定要自啟動運行,不然就失去病毒存在的意義了。現今的“機器狗”病毒都只是能夠穿透磁碟保護的,並穿透不了註冊表(無法在註冊表中保存添加或修改後的數據信息),這個就是它最大的缺陷。其實,註冊表數據信息也是以檔案的形式保存在磁碟中的,下一代“機器狗”病毒可能會實現穿透註冊表的功能,等那個時候,可能就很難防範了。這還是不算什麼的,下下一代的“機器狗”病毒可能會利用自己的磁碟過濾驅動去感染真實硬碟下的PE檔案,相當的恐怖啊!!

一旦感染了該版本的“機器狗”病毒,它不僅僅可以穿透“還原保護程式”,真實系統也一樣會中毒。因為病毒修改覆蓋了真實的系統檔案“C:\windows\explorer.exe”。所以每次重新啟動計算機後,被修改覆蓋的系統程式“C:\windows\explorer.exe”它都會在被感染計算機的後台連線網路下載駭客事先定義好的下載列表中的全部惡意程式並自動調用運行。那么如果中該病毒的用戶比較多,幾萬台計算機同時啟動,駭客的下載伺服器會掛掉嗎?呵呵~!!

問題及回答

問題1:這個最新的機器狗變種,是否與你12月19日發的病毒播報中的機器狗變種是同一個病毒?

回答:不是同一個病毒,只是工作原理十分的相似而已。經過仔細分析它們的工作原理和編碼風格後,可以推測出新版本“機器狗”病毒和老版本“機器狗”病毒決對不是出自一個人之手。

問題2:這個最新的機器狗變種是否功能更強大?強大在哪兒?與以往機器狗病毒的不同之處在哪兒?

回答:應該是相對的強大了些。對比“機器狗”一類新、老版本病毒的部分特徵如下:

問題3:機器狗病毒對網咖的影響很大,對個人用戶的影響有多少?

回答:個人用戶的影響與網咖的影響是同樣大的。因為不管計算機系統是否安裝“還原保護系統”程式,都會同樣下載非常多的(目前是下載27個惡意程式)網路遊戲盜號木馬等惡意程式進行安裝運行,從而給被感染計算機用戶帶去一定的損失。如果“用戶計算機硬體配置比較低”或者“存在所下載的多個惡意程式中出現相互不兼容現象”的話,會導致用戶計算機系統崩潰掉無法啟動運行。

防毒方法

·手動防毒方法

1:結束掉被病毒修改覆蓋後的“C:\windows\explorer.exe”程式進程,刪除該程式檔案。

2:也許系統會自動還原回來一個正常的“explorer.exe”桌面程式,如果沒有還原的話,我們可以手動把“C:\windows\system32\dllcache\”下的“explorer.exe”檔案拷貝到“C:\windows\”下。

3:手動卸載掉病毒惡意驅動程式“phy.sys”檔案。可以在註冊表中找到病毒惡意驅動程式“phy.sys”的啟動關聯位置然後刪除,接著再刪除掉“C:\windows\system32\DRIVERS\phy.sys”檔案。 我實際試過N次這種方法,針對該病毒決定好使。

4:重新啟動計算機後,一切就都會變為正常了。但是該新版的“機器狗”病毒會下載27個(不固定)惡意程式到被感染計算機中安裝運行,這些病毒可以安裝江民公司的KV2008去查殺,效果很不錯。

· 超級巡警之機器狗病毒專殺v1.3

本工具可檢測並查殺機器狗病毒,可穿透機器狗所能穿透的還原系統來修復被感染的檔案。本工具還具有免疫的功能,針對已知機器狗變種進行免疫,防止再次感染。另外,可使用命令行方式進行防毒,便於自動化操作,建議網咖等場所設定為開機自動防毒,減少重複作業。

下載地址:

http://download.pchome.net/utility/antivirus/trojan/detail-81071.html

http://update4.dswlab.com/RodogKiller1.3.zip

· 360安全衛士

目前檢測查殺機器狗病毒最有效的工具,機器狗本身下載的都是木馬和後門攻擊,360安全衛士毫無疑問是最好的查殺木馬防禦木馬的最好軟體。

下載地址:

http://www.360.cn

變種

08機器狗變種一:注入"explorer.exe"進程

Explorer.exe機器狗-分析(逆向工程)

文章末尾所添加的機器狗、IGM、寫穿還原的工具

樣本脫殼

OD載入樣本explorer.exe,

對GetModuleHandleA下斷,參數為NULL時即為入口點處對此函式的調用,

退出CALL之後可以得到入口為 004016ED。

重新載入樣本,對004016ED下記憶體寫入斷點,中斷後StepOver一步,然後在004016ED

下斷點,F9運行到入口,DUMP。DUMP之後不關閉OD,讓樣本處於掛起狀態,使用ImportREC修復DUMP

出來的檔案的導入表。

修復之後DUMP出來的檔案用OD載入出錯,使用PEDITOR的rebuilder功能重建PE之後即可用OD載入,說明

脫殼基本成功,但資源部分仍有問題,無法用Reshacker查看

pcihdd.sys的提取

OD載入樣本explorer.exe,設定有新模組載入時中斷,F9運行

當ADVAPI32.DLL載入時,對CreateServiceA下斷點,F9運行

當CreateServiceA中斷時,即可提取出pcihdd.sys

pcihdd.sys基本流程如下

1)檢查IDT的09(NPX Segment Overrun)和0E(Page Fault )處理程式的地址

如果09號中斷處理程式存在,並且處理程式地址的高8位與0E處理程式高8位不同,則把

IDT中0E的高16位設為0。估計是檢查0E是不是被HOOK了

我比較齷齪,看不懂這些操作的意思,這樣不BSOD?請懂的兄弟跟帖告訴一聲

2)通過搜尋地址來查找自己的載入地址

查找驅動檔案的資源中的1000/1000,並複製到一個全局緩衝區中

3)創建了\Device\PhysicalHardDisk0及其符號連線\DosDevices\PhysicalHardDisk0

4)只對IRP_MJ_CREATE

IRP_MJ_CLOSE

IRP_MJ_DEVICE_CONTROL

作出回響

其中IRP_MJ_CREATE中會斷開\Device\Harddisk0\DR0上附加的設備。這個操作會使磁碟過濾驅動、檔案系統

驅動(OS提供的,

但一些防毒軟體

也通過此渠道進行檔案系統監控)及其上的檔案系統過濾驅動(大多數檔案訪問控制和監控

都是這個層次的)無效

在IRP_MJ_CLOSE 中對恢復DR0上的附加

在IRP_MJ_DEVICE_CONTROL中對0xF0003C04作出回響,只是把2)中找到的資源數據解密後返回到應用程式。

解密密鑰是通過應用程式傳入的一個串(密鑰種子?)查表後產生(KEY:0x3f702d98)

0xF0003C04的作用:

將用戶態傳入的整個代碼體作為密鑰種子對這個代碼體進行類似於校驗和的運算後得

到4位元組的解密KEY,然後使用此解密key將驅動自身攜帶的資源解密(僅僅是XOR),將解密

結果返回給用戶態。

關於解除DR0上的附加設備:

這種操作應該會影響系統正常的檔案系統操作,但是因為實際操作時此驅動被打開和關閉的的間隔很短,所以應該

不會有明顯影響。

explorer.exe流程

1、釋放資源中的pcihdd.sys並創建名為pcihdd的服務,啟動服務

2、定位userinit.exe在硬碟中的位置。定位方法如下

1)通過FSCTL_GET_RETRIEVAL_POINTERS獲取檔案數據的分布信息

2)通過直接訪問硬碟(\\.\PhysicalHardDisk0)的的MDR和

第一個分區的引導扇區得到分區參數(每簇扇區數),配合1)中得到的信息

來定位檔案在硬碟上的絕對偏移量。

這裡有個小BUG,扇區大小是使用固定的512位元組而不是從引導扇區中獲取

3)通過對比ReadFile讀取的檔案數據和自己定位後直接

讀取所得到的檔案數據,確定定位是否正確

3、把整個代碼體作為參數傳遞給pcihdd.sys,控制碼0xF0003C04,並將pcihdd返回

的數據直接寫入userinit.exe的第一簇

被修改後的userinit.exe

1)查詢SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的Shell鍵值

2)創建Shell進程

3)等待網路連結,當網路連結暢通後,則從http://yu.8s7.net/cert.cer下載列表

4)對於列表中的檔案每個檔案,創建一個新執行緒下載並執行,執行緒計數加一(INC)

5)等待所有執行緒結束後(執行緒計數為0)結束進程。

對於執行緒計數的操作並不是原子操作,理論上多CPU情況下有小的機率出問題。

不過人家是寫針對普通PC的病毒,多CPU不常見,也不需要穩定

文中所指的病毒就是一般說的新AV終結者

機器狗:http://www.esfast.net/downs/explorer.rar

IGM:http://www.esfast.net/downs/IGM.rar

寫穿還原的工具:http://www.esfast.net/downs/SectorEditor.zip

目前防護辦法可以選用新的第三代還原軟體。

08機器狗變種二:注入"spoolsv.exe"進程

0、檢查explorer.exe、spoolsv.exe是否有ntfs.dll模組,並查找“ssppoooollssvv”字元串(互斥體)

如果發現,則退出。

1、首先啟動一個進程:spoolsv.exe,這是一個列印服務相關的進程。

即便是禁用系統的列印服務,它仍然可以由機器狗啟動。

從任務管理器可以發現,這是一個當前用戶級的許可權,很容易區別

2、臨時資料夾和%SystemRoot%\system32\drivers\釋放Ntfs.dll。

並嘗試注入spoolsv.exe。測試時沒有實現。

3、根據病毒體內的加密字元串解密:

10004180=userinit.10004180 (ASCII "NB0dDqN55bCYi1jO4jtulzpa2G3iC244")(ecx)

77C178C0 8B01 mov eax, dword ptr ds:[ecx]

77C178C2 BA FFFEFE7E mov edx, 7EFEFEFF

77C178C7 03D0 add edx, eax

77C178C9 83F0 FF xor eax, FFFFFFFF

77C178CC 33C2 xor eax, edx

77C178CE 83C1 04 add ecx, 4 \循環

77C178D1 A9 00010181 test eax, 81010100

每次取雙位元組,與7EFEFEFF相加。(Edx)

再將雙位元組內的數據和FFFFFFFF異或(Eax)

然後xor eax, edx

最後解密得:hXXp://a1.av.gs/tick.asp

從這個網站獲得urlabcdown.txt。讀取裡面的內容:

http://down.malasc.cn/plmm.txt

最後下載27盜號木馬,品種還是比較齊的,大話、夢幻、機戰、奇蹟、傳奇、QQ、QQgame等。

釋放路徑是:%SystemRoot%\system32\drivers。

4、載入驅動%SystemRoot%\system32\drivers\puid.sys:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\puid]

"Type"=dword:00000001

"Start"=dword:00000003

"ErrorControl"=dword:00000000

"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\

52,00,49,00,56,00,45,00,52,00,53,00,5c,00,70,00,75,00,69,00,64,00,2e,00,73,\

00,79,00,73,00,00,00

"DisplayName"="puid"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\puid\Security]

"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\

00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\

05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\

20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\

00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\

00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\puid\Enum]

"0"="Root\LEGACY_PUID\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

並釋放iefjsdfas.txt,裡面記錄一些puid.sys信息。

如果iefjsdfas.txt裡面的內容和實際的不符合,可能判斷為puid.sys是免疫資料夾或無效檔案。

這時候它可能會刪除這個檔案,再重新載入。

(未證實,我禁止了它的驅動載入)

5、記錄一個進程快照,每隔30秒執行一次。如果發現以下字元串則結束:

antiarp.exe

360tray.exe

360Safe.exe

6、另外那個puid.sys可能會修改userinit.exe達到穿透還原的目的。

08機器狗變種三:注入"conime.exe"進程

conime.exe是輸入法編輯器相關程式,早期用來傳播igm病毒,現在也成為機器狗的載體。穿透後,成為一個木馬下載器病毒。

08機器狗變種四:注入"ctfmon.exe"進程

找不到~輸入法被的圖示沒有了,就是文字服務和輸入語言->高級->關閉高級文字服務 那裡打勾了~怎么去也去不掉。

還找到了病毒下載其他病毒木馬的地址列表檔案:C:\WINDOWS\system32\tutility.txt

推薦使用金山毒霸2008(http://www1.duba2008.org.cn)防毒軟體提供的機器狗專殺工具:http://bbs.duba.net/attachment.php?aid=16065774

及手動修複方法:http://bbs.duba.net/viewthread.php?tid=21843365&highlight=

變種病毒

防毒方法:

刪除以下檔案

可以使用icesword,wsyscheck,autoruns等軟體

啟動項目:

註冊表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

<><C:\WINDOWS\system32\mfdesy.dll>

<><C:\WINDOWS\system32\sgrefg.dll>

<><C:\WINDOWS\system32\zjydcx.dll>

<><C:\WINDOWS\system32\hhrdxd.dll>

<><C:\WINDOWS\system32\dhyszj.dll>

<><C:\WINDOWS\system32\fmcvxy.dll>

<><C:\WINDOWS\system32\jhfrxz.dll>

<><C:\WINDOWS\system32\jhrcar.dll>

1、==================================

驅動程式

[msskye / msskye][Running/Auto Start]

<system32\DRIVERS\msaclue.sys><N/A>

進程里的項目太多,直接寫在處理方法裡

下載XDELBOX

使用方法:

在XDELBOX中添加:

C:\WINDOWS\system32\ijougiemnaw.dll

C:\WINDOWS\system32\iqnauhc.dll

C:\WINDOWS\system32auhad.dll

C:\WINDOWS\system32\xhtd.dll

C:\WINDOWS\system32\uohsom.dll

C:\WINDOWS\system32\uyom.dll

C:\WINDOWS\system32\gnolnait.dll

C:\WINDOWS\system32\oadnew.dll

C:\WINDOWS\system32\auhad.dll

C:\WINDOWS\system32\hhrdxd.dll

C:\WINDOWS\system32\HDDGuard.dll

C:\WINDOWS\system32\jhrcar.dll

C:\WINDOWS\system32\jhfrxz.dll

C:\WINDOWS\system32\fmcvxy.dll

C:\WINDOWS\system32\dhyszj.dll

C:\WINDOWS\system32\zjydcx.dll

C:\WINDOWS\system32\sgrefg.dll

C:\WINDOWS\system32\mfdesy.dll

C:\WINDOWS\system32\DRIVERS\msaclue.sys

右鍵XDELBOX選“立即重啟刪除”

XDELBOX會自動重啟刪除以上病毒檔案

再次重啟時按F8進入安全模式

用SREng刪除以上有問題的註冊表項、驅動

-------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------

最新機器狗 現在暫時還沒有解決的辦法! 包括微軟 百分之九十的還原被穿透

1.主病毒(mm.exe)運行後,釋放如下檔案:

程式代碼

C:\WINDOWS\system32\drivers\pcihdd2.sys

C:\WINDOWS\system32\lssass.exe

註冊服務DeepFree Update 指向C:\WINDOWS\system32\drivers\pcihdd2.sys 並載入這個驅動 這個驅動即為機器狗的驅動

之後會替換userinit.exe檔案

2.之後mm.exe啟動C:\WINDOWS\system32\lssass.exe 至此mm.exe(即機器狗)退出 大權交給lssass.exe

3.lssass.exe運行後,釋放如下檔案

C:\WINDOWS\system32\drivers\ati32srv.sys

註冊服務ATI2HDDSRV 指向ati32srv.sys 並載入這個驅動 該驅動可以恢復系統的SSDT表 使得防毒軟體的API hook完全失效...很多防毒軟體的“主動防禦”和“自我保護”功能也因此失效

4.調用cmd.exe把KvTrust.dll,UrlGuard.dll,antispy.dll,safemon.dll,ieprot.dll重命名為tmp%d.temp的格式

5.結束很多安全軟體進程

程式代碼

avp.com

avp.exe

runiep.exe

PFW.exe

FYFireWall.exe

rfwmain.exe

rfwsrv.exe

KAVPF.exe

KPFW32.exe

nod32kui.exe

nod32.exe

Navapsvc.exe

Navapw32.exe

avconsol.exe

webscanx.exe

NPFMntor.exe

vsstat.exe

KPfwSvc.exe

Ras.exe

RavMonD.exe

mmsk.exe

WoptiClean.exe

QQKav.exe

QQDoctor.exe

EGHOST.exe

360Safe.exe

iparmo.exe

adam.exe

IceSword.exe

360rpt.exe

360tray.exe

AgentSvr.exe

AppSvc32.exe

autoruns.exe

avgrssvc.exe

AvMonitor.exe

CCenter.exe

ccSvcHst.exe

FileDsty.exe

FTCleanerShell.exe

HijackThis.exe

Iparmor.exe

isPwdSvc.exe

kabaload.exe

KaScrScn.SCR

KASMain.exe

KASTask.exe

KAVDX.exe

KAVPFW.exe

KAVSetup.exe

KAVStart.exe

KISLnchr.exe

KMailMon.exe

KMFilter.exe

KPFW32.exe

KPFW32X.exe

KPFWSvc.exe

KRegEx.exe

KRepair.com

KsLoader.exe

KVCenter.kxp

KvDetect.exe

KvfwMcl.exe

KVMonXP.kxp

KVMonXP_1.kxp

kvol.exe

kvolself.exe

KvReport.kxp

KVScan.kxp

KVSrvXP.exe

KVStub.kxp

kvupload.exe

kvwsc.exe

KvXP.kxp

KvXP_1.kxp

KWatch.exe

KWatch9x.exe

KWatchX.exe

MagicSet.exe

mcconsol.exe

mmqczj.exe

KAV32.exe

nod32krn.exe

PFWLiveUpdate.exe

QHSET.exe

RavMonD.exe

RavStub.exe

RegClean.exe

rfwcfg.exe

RfwMain.exe

rfwsrv.exe

RsAgent.exe

Rsaupd.exe

safelive.exe

scan32.exe

shcfg32.exe

SmartUp.exe

SREng.EXE

symlcsvc.exe

SysSafe.exe

TrojanDetector.exe

Trojanwall.exe

TrojDie.kxp

UIHost.exe

UmxAgent.exe

UmxAttachment.exe

UmxCfg.exe

UmxFwHlp.exe

UmxPol.exe

UpLive.exe

procexp.exe

OllyDBG.EXE

OllyICE.EXE

rfwstub.exe

RegTool.exe

rfwProxy.exe

6.映像劫持幾乎上面所有安全軟體指向“ntsd -d”

7.啟動IE進行下載工作,首先會讀取ht tp://xtx.×××.info/images/xin.txt比較

裡面的VERSION信息 如果發現不是最新版本 則下載最新版本 具有自我更新功能

8.之後繼續讀取下面的下載信息 下載木馬

目前下載的病毒地址為

程式代碼

ht tp://2.×××.info/xm/aa1.exe~http://2.×××.info/xm/aa13.exeht tp://444.××××××××.com/xm/aa14.exe~http://444.××××××××.com/xm/aa26.exe

病毒木馬植入完畢後的sreng日誌如下(本例中均假設系統裝在C糟下)

啟動項目

註冊表

程式代碼

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

<WSockDrv32><C:\WINDOWS\dqyxis.exe> []

<upxdnd><C:\WINDOWS\upxdnd.exe> []

<LotusHlp><C:\WINDOWS\LotusHlp.exe> []

<C:\WINDOWS\PTSShell.exe> []

<SHAProc><C:\WINDOWS\SHAProc.exe> []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

<kfzmwcnyi><kfzmwcnyi.exe> []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

<><C:\WINDOWS\system32\JAA-JAA-1032.dll> []

<><C:\WINDOWS\system32\RAA_RAA_1002.dll> []

<><C:\WINDOWS\Fonts\gjcsdyc.dll> []

<><C:\WINDOWS\system32\QAB_QAB_1011.dll> []

<><C:\WINDOWS\system32\IIA-IIA-1030.dll> []

==================================

驅動程式

程式代碼

[ATI2HDDSRV / ATI2HDDSRV][Running/Manual Start]

<\??\C:\WINDOWS\system32\drivers\ati32srv.sys><N/A>

[DeepFree Update / DeepFree Update][Stopped/Manual Start]

<\??\C:\WINDOWS\system32\drivers\pcihdd2.sys><N/A>

[msskye / msskye][Running/Auto Start]

<system32\drivers\msaclue.sys><N/A>

==================================

正在運行的進程

程式代碼

[PID: 1452][C:\WINDOWS\system32\userinit.exe] [N/A, ]

[C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]

[PID: 1472][C:\windows\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

[C:\WINDOWS\system32\JAA-JAA-1032.dll] [N/A, ]

[C:\WINDOWS\system32\RAA_RAA_1002.dll] [N/A, ]

[C:\WINDOWS\Fonts\gjcsdyc.dll] [N/A, ]

[C:\WINDOWS\system32\QAB_QAB_1011.dll] [N/A, ]

[C:\WINDOWS\system32\IIA-IIA-1030.dll] [N/A, ]

[C:\WINDOWS\wlqirtuk.dll] [N/A, ]

[C:\WINDOWS\dcadmqws.dll] [N/A, ]

[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]

[C:\WINDOWS\system32\WSockDrv32.dll] [N/A, ]

[C:\WINDOWS\system32\LotusHlp.dll] [N/A, ]

[C:\WINDOWS\system32\PTSShell.dll] [N/A, ]

[C:\WINDOWS\system32\SHAProc.dll] [N/A, ]

[C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]

...

補充:netguy_updatefile.exe 在啟動項里添加netguy_updatefile.exe程式,開機下病毒

機器狗木馬病毒介紹:

機器狗木馬病毒是用一個C語言編寫的木馬病毒。病毒運行後會刪除系統目錄下的userinit.exe,並建立一個包含病毒的userinit.exe,隨系統每次啟動時載入到系統中。此檔案運行後會在系統的SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加一

系列反病毒軟體和安全工具的鍵值,使這些軟體和工具無法正常運行。另外病毒還會嘗試注入IE進程通過網際網路下載病毒的更新,達到躲避查殺與偵測的目的。

機器狗病毒的判斷方法:

方法1:打開C:\WINDOWS\system32資料夾 (或打開系統對應目錄),找到userinit.exe、explorer.exe點擊右鍵查看檔案的屬性,若在屬性視窗中看不到檔案的版本標籤則說明該檔案已經被病毒替換系統已經染毒。

方法2:雙擊瑞星防毒軟體的捷徑,以及卡卡上網安全助手的捷徑,沒有任何反應(不是視窗打開後迅速關閉或報錯崩潰)。

木馬專殺工具

版本:V5.2版 大小:720KB

立即下載機器狗專殺

中毒症狀:

如果360無法打開或者打開之後被關閉,系統變的非常慢,系統時間莫名其妙被更改.\"我的電腦\"的圖示不正確,輸入法無法打開,說明可能中了機器狗。

如果打開C:\\WINDOWS\\system32資料夾(如果您的系統不在c盤安裝,請找到對應的目錄),找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe檔案,點擊右鍵查看屬性,如果在屬性視窗中看不到檔案的版本標籤的話,說明已經中了機器狗。

機器狗木馬病毒簡介:

機器狗,是一種病毒下載器,它可以給用戶的電腦下載大量的木馬、病毒、惡意軟體、外掛程式等。一旦中招,用戶的電腦便隨時可能感染任何木馬、病毒,這些木馬病毒會瘋狂地盜用用戶的隱私資料(如帳號密碼、私密檔案等),也會破壞作業系統,使用戶的機器無法正常運行,它還可以通過內部網路傳播、下載隨身碟病毒和Arp攻擊病毒,能引發整個網路的電腦全部自動重啟。對於網咖而言,機器狗就是劍指網咖而來,針對所有的還原產品設計,其破壞力可能會很快會超過熊貓燒香。

機器狗工作原理:

機器狗工作原理:機器狗本身會釋放出一個pcihdd.sys到drivers目錄,pcihdd.sys是一個底層硬碟驅動,提高自己的優先權接替還原卡或冰點的硬碟驅動,然後訪問指定的網址,這些網址只要連線就會自動下載大量的病毒與惡意外掛程式。

從物理上根本解決機器狗病毒.

通過防毒軟體的方法防禦機器狗病毒,可以說是治標不治本的.因為殺軟升級,病毒也會升級,因此需要無休止的打補丁,對於

多電腦的計算機機房來說,無疑的帶來了巨大的工作量.因此通過純硬體的方式來解決機器狗病毒,是最根本的,從物理上解決機器狗病毒的方法.邏輯與物理的區別就在與此.藍芯防毒卡的研發成功,對解決機器狗病毒,可以說是起到的巨大貢獻,突破了原有的傳統的保護卡技術,通過最基本的底層入手,硬碟數據線直接連到卡上,直接接管硬碟,讓受到保護的分區的數據免受各種已知的病毒(包括機器狗病毒)或未知病毒的侵擾。

機器狗病毒也是一種軟體而已,而我們是硬碟物理上的最後一道門,所以,不論病毒技術如何改進,要破壞數據都不得不通過這最後一道門。而這道門又在我們的掌握中,所以,未知的病毒只要還是軟體就無法破壞。

相關詞條

熱門詞條

聯絡我們