來歷
曾經有很多人說有穿透還原卡、冰點的病毒,但是在各個論壇都沒有樣本證據,直到2007年8月29日終於有人在社區里貼出了一個樣本。這個病毒沒有名字,圖示是SONY的機器狗阿寶,就像前輩“熊貓燒香”一樣,大家給它起了個名字叫機器狗。此病毒採用hook系統的磁碟設備棧來達到穿透目的的,危害極大,可穿透當前技術條件下的任何軟體硬體還原!基本無法靠還原抵擋。已知的所有還原產品,都無法防止這種病毒的穿透感染和傳播。
機器狗是一個木馬下載器,感染後會自動從網路上下載木馬、病毒,危及用戶帳號的安全。機器狗運行後會釋放一個名為PCIHDD.SYS的驅動檔案,與原系統中還原軟體驅動進行硬碟控制權的爭奪,並通過替換userinit.exe檔案,實現開機啟動。
詳細介紹
2008年春,一款名為“機器狗”的木馬在網上大規模傳播。“機器狗木馬”據稱是比“熊貓燒香”還毒的木馬程式,具有變種眾多、傳播方式和途徑多樣化的特徵。而2008年五一期間該木馬的諸多變種更是來勢洶洶,一方面其傳播手段更為廣泛:通過網頁掛馬、第三方軟體漏洞等方式大肆傳播;以另一方面破壞性也比過去更強:該木馬採用替換系統檔案方式,加速自身啟動速度,同時讓普通防毒軟體簡單方式查殺後對系統造成嚴重性後果。
機器狗,是一種病毒下載器,它可以給用戶的電腦下載大量的木馬、病毒、惡意軟體、外掛程式等。一旦中招,用戶的電腦便隨時可能感染任何木馬、病毒,這些木馬病毒會瘋狂地盜用用戶的隱私資料(如帳號密碼、私密檔案等),也會破壞作業系統,使用戶的機器無法正常運行,它還可以通過內部網路傳播、下載隨身碟病毒和Arp攻擊病毒,能引發整個網路的電腦全部自動重啟。對於網咖而言,機器狗就是劍指網咖而來,針對所有的還原產品設計,其破壞力可能會很快會超過熊貓燒香。
機器狗木馬它採用驅動級技術代碼寫成,破壞力遠超熊貓燒香。一旦中了機器狗木馬,電腦就會被遠程控制,危害極大。不僅如此,中招的用戶電腦還會被遠程控制,成為徹底的“肉雞”。這些“肉雞”能夠聯合起來向其他電腦進行攻擊。因此,有效杜絕機器狗木馬四代的傳播渠道,不僅是保護用戶自己電腦的安全,同時也是對其他用戶電腦進行保護。區域網路中一旦有一台電腦中招,就有可能導致整個網路癱瘓。
臨時解決方案:一是封IP58.221.254.103,二是在c:windowssystem32drivers下建立免疫檔案:pcihdd.sys。
更為可怕的是機器狗病毒對還原精靈有一定的穿透能力,所以想通過還原精靈解決中毒計算機往往是辦不到的,另外機器狗病毒專殺工具RavMonEKiller是當前唯一一款可以查殺所有機器狗病毒及其變種病毒的工具,實現檢測和清除、修復感染機器狗病毒的磁碟和檔案,對機器狗病毒的未知變種具備偵測和處理能力,可以處理所知的所有機器狗病毒家族和相關變種。在清除時一定要先打上機器狗免疫補丁,補丁結束病毒進程的運行,否則病毒將無法清除。
機器狗木馬病毒是一種高危型魔獸世界盜號木馬,中了之後程式會在合適的時間給用戶偽造一個掉線頁面,重新登入時顯示出的密保卡序列和木馬方的登入序列一樣,輸入了數字後那邊就登入成功,上號後自動爐石,走到附近的信箱把金幣郵寄出去,全程不超過一分鐘,非常危險!
特徵原理
“機器狗”病毒運行後,會在%WinDir%\System32\drivers目錄下釋放出一個名為pcihdd.sys的驅動程式,該檔案會接管冰點或者硬碟保護卡對硬碟的讀寫操作,這樣該病毒就破解了還原系統的保護,使冰點、硬碟保護卡實效。接著,該病毒會利用MS06-014和MS07-017系統漏洞和等多個套用軟體漏洞,從惡意網址下載多款網遊木馬,盜取包括傳奇、魔獸世界、征途、奇蹟等多款網遊帳號和密碼,嚴重威脅遊戲玩家數字財產的安全。正因為冰點還原軟體和硬碟保護卡大多在網咖使用,因此網咖成為該病毒發作的重災區。一旦發現電腦工作異常,立刻下載機器狗木馬專殺工具並進行查殺,確保電腦安全。機器狗已變異至四代,專家稱機器狗四代已成為史上最強系統破壞王,破壞力遠超熊貓燒香。
新舊版本的特徵
1:新版本“機器狗”病毒採用VC++6.0編寫,老版本“機器狗”病毒採用彙編編寫
2:新版本“機器狗”病毒採用UPX加殼,老版本“機器狗”病毒採用未知殼。
3:新版本“機器狗”病毒驅動檔案很小(1,536位元組),老版本“機器狗”病毒驅動檔案很大(6,768位元組)。
4:新版本“機器狗”病毒安裝驅動後沒有執行卸載刪除操作,老版本“機器狗”病毒安裝驅動工作完畢後會卸載刪除。
5:新版本“機器狗”病毒針對的是系統“conime.exe”、“ctfmon.exe”和“explorer.exe”程式檔案,老版本“機器狗”病毒只針對系統“userinit.exe”檔案。
6:新版本“機器狗”病毒沒有對註冊表進行操作,老版本“機器狗”病毒有對註冊表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon”項進行操作
7:新版本“機器狗”病毒去到系統dllcache資料夾下調用真實系統檔案運行,老版本“機器狗”病毒沒有到系統dllcache資料夾下調用真實系統檔案運行。
8:老版本“機器狗”病毒採用的是黑色機器小狗圖案的圖示,新版本機器狗病毒和程式圖示不定。
判斷方法編輯
比較明顯的就是電腦變慢,會當機,會藍屏。用防毒軟體或木馬查殺軟體可以查出幾百個病毒檔案,相當嚇人。
據了解,機器狗病毒可藉助ARP病毒傳播,在企業區域網路內蔓延,危害極大。方法1:打開C:\WINDOWS\system32資料夾(或打開系統對應目錄),找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe檔案,點擊右鍵查看檔案的屬性,若在屬性視窗中看不到檔案的版本標籤則說明該檔案已經被病毒替換系統已經染毒。
方法2:雙擊瑞星防毒軟體的捷徑,以及卡卡上網安全助手的捷徑,沒有任何反應(不是視窗打開後迅速關閉或報錯崩潰)。
方法3:如果360無法打開或者打開之後被關閉,系統變的非常慢,系統時間莫名其妙被更改.\"我的電腦"\的圖示不正確,輸入法無法打開,說明可能中了機器狗。
方法4:機器狗木馬四代是一種高危的感染型木馬,用戶一旦中招,在任務管理器中就會出現兩個EXPLORER.EXE或explorer.exe進程。另一個明顯特徵是,感染病毒應用程式無法運行,同時伴隨CPU滿負荷,電腦風扇運轉過快等外部表現。
現象及危害
1、替換系統常見進程,讓自身被自動執行的機率提高,被防毒軟體直接查殺的話會造成比較嚴重的系統問題替換系統常見進程,讓自身被自動執行的機率提高
採用替換系統檔案而非感染形式,讓防毒軟體直接查殺導致嚴重系統問題,給用戶造成巨大損失
採用該方式還可以穿透網咖還原軟體,還原卡,導致網咖系統無論如何重啟還原也不能恢復到原始安全狀態
被替換系統檔案 | 系統檔案說明 | 若直接刪除後會導致的系統問題 |
C:\windows\system32\userinit.exe | 系統登錄相關檔案 | 導致永遠在“歡迎使用”的登錄畫面,輸入完密碼登錄後迅速又註銷到登錄畫面 |
C:\windows\Explorer.exe | 桌面和資源管理器主進程 | 導致用戶電腦啟動後,只有背景、沒有桌面、沒有圖示、沒有開始選單和系統列 |
C:\windows\system32\ctfmon.exe | 系統輸入法控制程式相關 | 導致用戶的輸入法控制將會變得異常 |
2、到指定的網站後台下載盜號木馬並執行
會下載大量不同類型盜號木馬,如較為猖獗的拼音倒寫木馬
3、關閉安全類軟體
防禦建議
1、由於機器狗病毒是藉助於ARP欺騙的方式在區域網路中傳播,因此做好ARP欺騙的防範工作十分必要。有條件的網咖和企業,可以採用雙向綁定策略,在交換機或路由器上綁定好全網的IP-MAC地址,在客戶端綁定好網關的IP-MAC。這樣即便是區域網路中某台電腦感染了ARP病毒,該電腦也不會干擾全網的運行。雙向綁定策略是抵禦ARP病毒的好辦法。如果不具備雙向綁定的條件,可以採用劃分VLAN的方法,來隔離網路的不同區域,這樣可以把ARP病毒的危害降低到最小。2、更新好系統漏洞補丁,尤其是網頁木馬常用漏洞:MS06-014和MS07-017。絕大部分的網頁木馬都是利用以上兩個系統漏洞入侵到計算機中的,因此打好補丁十分關鍵。
3、注意套用軟體版本的及時更新。“機器狗”病毒除了利用以上兩個系統漏洞通過網頁木馬的方式入侵到電腦中,還利用最為流行的套用軟體漏洞進行掛馬傳播,例如一些聊天工具漏洞、播放器軟體漏洞、網路電視軟體漏洞、遊戲軟體漏洞、甚至是一些常用的下載工具的漏洞都會成為病毒的傳播途徑。由於套用軟體的用戶群體更為廣泛,這也就成了病毒作者傳播病毒的又一“利器”。因此要注意軟體的版本,一定要使用從官方網站下載的最新版本的軟體,這點十分重要,不要使用老版本,因為老版本有很多漏洞。
4、禁用Windows系統的自動播放功能。這一點對個人用戶來說同樣重要,由於“機器狗”病毒還會利用隨身碟傳播,因此如果隨身碟中含有此病毒時,如果直接雙擊打開隨身碟,就會激活病毒,從而感染進電腦中。建議用戶通過組策略的方式禁用隨身碟的自動播放功能。
關閉自動播放功能方法如下:在“開始”選單的“運行”框中運行“gpedit.msc”命令,在“組策略”找到“計算機配置”和“用戶配置”下的“管理模板”功能,打開其中的“系統”選單中的“關閉自動播放”的設定,在其屬性裡面選擇“已啟用”,接著選擇“所有驅動器”,最後確定保存即可。江民防毒軟體“移動存儲接入防毒”能杜絕病毒利用移動設備(如:隨身碟、移動硬碟等)入侵用戶計算機,保護計算機系統安全。
5、及時升級防毒軟體病毒庫,上網時確保打開“網頁監控”、“郵件監控”功能。
6.已中“機器狗木馬”的用戶要下載專殺工具查殺,未中該木馬的用戶也可通過專殺工具進行免疫,預防機器狗木馬入侵勾選“免疫”選項並掃描,如果未中該木馬也可進行免疫。
7.下載360安全衛士直接查殺
360安全衛士最新版本也會對機器狗進行全面查殺,並且將被替換的系統檔案恢復為正常
8.下載修復工具進行查殺
若360安全衛士無法打開,可以下載360修復工具進行修復
9.人工簡單判斷是否有新變種
如果360安全衛士檢測無問題,可採用人工簡單檢測方式查看是否出現新的變種
(a)安全類軟體是否無法開啟
(b)檢查常用系統檔案圖示是否正常,查看屬性是否有完整的版本信息,如果圖示不正常,又缺乏完整版本信息,極有可能就是機器狗病毒。