转自 "The Savager Blog" , 原文链接:/article.asp?id=420 版权归原作者所有,转载请注明出处! 机器狗病毒专杀和机器狗病毒样本研究:
日前,一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐。此病毒通过 pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架 构木马型病毒,病毒穿透还原软件后将自己保存在系统中,定期从指定的网站下载各种木马程序来截取用户的帐号信息。
通过对病毒样本进行分析,我们研判此病毒极有可能为硬盘保护业内或者网吧业内的技术人员所开发,并主要针对网吧用户。而且日前传播的病毒版本仍然为带有调试信息的工程测试版本,更成熟的版本相信会更具备破坏力。
机 器狗或IGM变种能成功穿透还原,并狡猾地利用了userinit.exe这个系统必须的登录文件,将其更改成木马下载器,从而……我们防病毒方法一般都 是被动地免疫了事,但对这个特殊文件却是不能免疫、不能删,改注册表改名也无济于事,也就怪不得这条狗要凶这么久了。总而言之, userinit.exe才是防止穿透的唯一突破口。于是,我就瞄准这个userinit.exe突破口,要好好保护它不被穿透更改为致命关键!于是,我 试过N种方法来保护这个文件,但都因为这文件开机的特殊性失败了!昨晚,我忽然想到了另一点,机器狗穿透的是EXE文件,如果我用别的非EXE文件来代替 开机的userinit.exe,结果会怎样呢?我首先想到用个批处理,里面代码只要写上个真正的userinit.exe执行命令就可以,这样就不影响 开机,而机器狗能在注册表读取到的userinit键值只是这个简单的批处理,那么它要穿透的也只有这个批处理!测试结果真的大快人心,这条狗根本就没更 改批处理,或者说,它拿批处理反而没办法!其实也是,批处理写的代码不到30个字节,这条狗怎么穿透更改都是有限的。顺便介绍下,这狗很聪明,穿透更改 后,文件的日期和大小都不变的,还真厉害!但用FC却能对比出文件代码是变动了,所以我前几天发的加料免疫中,有个开机对比检测批处理还是有很大效果的。 好了,废话不多说了,看实际操作步骤:
1、首先在系统system32下复制个无毒的userinit.exe,文件名为FUCKIGM.exe(文件名可以任意取),这就是下面批处理要指向 执行的文件!也就是开机启动userinit.exe的替代品!而原来的userinit.exe保留!其实多复制份的目的只是为了多重保险!可能对防止 以后变种起到一定的作用。
2、创建个文件名为userinit.bat的批处理(文件名也可任意取,但要和下面说到的注册表键值保持一致即可),内容如下:
start FUCKIGM.exe (呵呵,够简单吧?)
3、修改注册表键值,将userinit.exe改为userinit.bat。内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Userinit"="C://WINDOWS//system32//userinit.bat,"
就这3步,让这条狗再也凶不起来!我是在windows 测试的,双击机器狗后,没什么反应,对比批处理也是正常,即这狗根本没改动它!开关机啊游戏啊均无异常!但唯一美中不足的是,采用经典模式开机的启动时会出现个一闪而过的黑框!
如果你嫌麻烦,也不要紧。上面三条批处理我给你搞好了,你直接复制下面的这个存为批处理执行就OK了。三步合二为一
@echo off
:::直接复制系统system32下的无毒userinit.exe为FUCKIGM.exe
cd /d %SystemRoot%/system32
copy /y userinit.exe FUCKIGM.exe >nul
:::创建userinit.bat
echo @echo off >>userinit.bat
echo start FUCKIGM.exe >>userinit.bat
:::注册表操作
reg add "HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon" /v Userinit / t REG_SZ /d "C:/WINDOWS/system32/userinit.bat," /f >nul
:::删掉自身(提倡环保)
del /f /q %0
当然,如果您实在不行,下载程序killigm。然后直接解压运行里面的程序:机器狗免疫补丁.bat 执行就可以了.
网上流传的另一种新的变种的防止方法 :
开始菜单运行.输入CMD
cd ……到drivers
md pcihdd.sys
cd pcihdd.sys
md 1.../
可防止最新变种。请注意:此法只能是防止,对于杀机器狗还得靠最新的杀毒程序才行。
针对该病毒,反病毒专家建议广大用户及时升级杀毒软件病毒库,补齐系统漏洞,上网时确保打开“网页监控”、“邮件监控”功能;禁用系统的自动播放功能, 防止病毒从U盘、MP3、移动硬盘等移动存储设备进入到计算机;登录网游账号、网络银行账户时采用软键盘输入账号及密码。
附专杀工具:
·机器狗免疫补丁
·迅闪还原 V3.0 build 0905 版本
·穿透还原病毒(机器狗)免疫补丁
·机器狗免疫程序
如果觉得《机器狗病毒专杀和机器狗病毒样本研究》对你有帮助,请点赞、收藏,并留下你的观点哦!
