【轉(zhuǎn)貼】注意防止機(jī)器狗病毒

smith

機(jī)器狗的生前身后
曾經(jīng)有很多人說有穿透還原卡、冰點(diǎn)的病毒，但是在各個(gè)論壇都沒有樣本證據(jù)，直到2007年8月29日終于有人貼出了一個(gè)樣本。這個(gè)病毒沒有名字，圖標(biāo)是SONY的機(jī)器狗阿寶，就像前輩熊貓燒香一樣，大家給它起了個(gè)名字叫機(jī)器狗。

傳說中的機(jī)器狗

工作原理
機(jī)器狗本身會(huì)釋放出一個(gè)pcihdd.sys到drivers目錄，pcihdd.sys是一個(gè)底層硬盤驅(qū)動(dòng)，提高自己的優(yōu)先級(jí)接替還原卡或冰點(diǎn)的硬盤驅(qū)動(dòng)，然后訪問指定的網(wǎng)址，這些網(wǎng)址只要連接就會(huì)自動(dòng)下載大量的病毒與惡意插件。然后修改接管啟動(dòng)管理器，最可怕的是，會(huì)通過內(nèi)部網(wǎng)絡(luò)傳播，一臺(tái)中招，能引發(fā)整個(gè)網(wǎng)絡(luò)的電腦全部自動(dòng)重啟。

重點(diǎn)是，一個(gè)病毒，如果以hook方式入侵系統(tǒng)，接替硬盤驅(qū)動(dòng)的方式效率太低了，而且毀壞還原的方式這也不是最好的，還有就是這種技術(shù)應(yīng)用范圍非常小，只有還原技術(shù)廠商范圍內(nèi)有傳播，在這方面國際上也只有中國在用，所以，很可能就是行業(yè)內(nèi)杠。

對于網(wǎng)吧學(xué)校而言，機(jī)器狗就是劍指網(wǎng)吧學(xué)校而來，針對所有的還原產(chǎn)品設(shè)計(jì)，可預(yù)見其破壞力很快會(huì)超過熊貓燒香。好在現(xiàn)在很多免疫補(bǔ)丁都以出現(xiàn)，發(fā)稿之日起，各大殺毒軟件都以能查殺。

免疫補(bǔ)丁之爭
現(xiàn)在的免疫補(bǔ)丁之?dāng)?shù)是疫苗形式，以無害的樣本復(fù)制到drivers下，欺騙病毒以為本身以運(yùn)行，起到阻止危害的目的。這種形式的問題是，有些用戶為了自身安全會(huì)在機(jī)器上運(yùn)行一些查毒程序（比如QQ醫(yī)生之類）。這樣疫苗就會(huì)被誤認(rèn)為是病毒，又要廢很多口舌。

解決之道
最新的解決方案是將system32/drivers目錄單獨(dú)分配給一個(gè)用戶，而不賦予administror修改的權(quán)限。雖然這樣能解決，但以后安裝驅(qū)動(dòng)就是一件頭疼的事了。

最新動(dòng)向
好像機(jī)器狗的開發(fā)以停止了，從樣本放出到現(xiàn)在也沒有新的版本被發(fā)現(xiàn)，這到讓我們非常擔(dān)心，因?yàn)殡m著研究的深入，現(xiàn)在防御的手段都是針對病毒工作原理的，一但機(jī)器狗開始更新，稍加改變工作原理就能大面積逃脫普遍的防御手段，看來機(jī)器狗的爆發(fā)只是在等待，而不是大家可以高枕了。目前我己發(fā)現(xiàn)機(jī)器狗病毒與各類arp病毒結(jié)合起來,威金病毒都包含!可以說ARP病毒，大大的推動(dòng)了ROS應(yīng)用，機(jī)械狗，可能會(huì)大大的推動(dòng)無盤的應(yīng)用!
機(jī)器狗是一個(gè)木馬下載器，感染后會(huì)自動(dòng)從網(wǎng)絡(luò)上下載木馬、病毒，危及用戶帳號(hào)的安全。
機(jī)器狗運(yùn)行后會(huì)釋放一個(gè)名為PCIHDD.SYS的驅(qū)動(dòng)文件，與原系統(tǒng)中還原軟件驅(qū)動(dòng)進(jìn)行硬盤控制權(quán)的爭奪，并通過替換userinit.exe文件，實(shí)現(xiàn)開機(jī)啟動(dòng)。

那么如何識(shí)別是否已中毒呢？

是否中了機(jī)器狗的關(guān)鍵就在 Userinit.exe 文件，該文件在系統(tǒng)目錄的 system32 文件夾中，點(diǎn)擊右鍵查看屬性，如果在屬性窗口中看不到該文件的版本標(biāo)簽的話，說明已經(jīng)中了機(jī)器狗。如果有版本標(biāo)簽則正常。

　　目前，網(wǎng)絡(luò)流行以下解決方法，或者可以在緊急情況下救急：
　　1、首先在系統(tǒng)system32下復(fù)制個(gè)無毒的userinit.exe，文件名為FUCKIGM.exe(文件名可以任意取)，這就是下面批處理要指向執(zhí)行的文件！也就是開機(jī)啟動(dòng)userinit.exe的替代品！而原來的userinit.exe保留！其實(shí)多復(fù)制份的目的只是為了多重保險(xiǎn)！可能對防止以后變種起到一定的作用。
　　2、創(chuàng)建個(gè)文件名為userinit.bat的批處理（文件名也可任意取，但要和下面說到的注冊表鍵值保持一致即可），內(nèi)容如下：
　　 start FUCKIGM.exe (呵呵，夠簡單吧？)
　　 3、修改注冊表鍵值，將userinit.exe改為userinit.bat。內(nèi)容如下：
　　
　　 Windows Registry Editor Version 5.00
　　 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
　　 "Userinit"="C:\\WINDOWS\\system32\\userinit.bat,"
　　就這3步，讓這條狗再也兇不起來！這是在windows 2003測試的，雙擊機(jī)器狗后，沒什么反應(yīng)，對比批處理也是正常，即這狗根本沒改動(dòng)它！開關(guān)機(jī)游戲均無異常！但唯一美中不足的是，采用經(jīng)典模式開機(jī)的啟動(dòng)時(shí)會(huì)出現(xiàn)個(gè)一閃而過的黑框！

狗再也兇不起來了


　　如果嫌麻煩，也不要緊。上面三條批處理網(wǎng)友已搞好了，直接復(fù)制下面的這個(gè)存為批處理執(zhí)行就OK了。三步合二為一
　　 @echo off
　　 :::直接復(fù)制系統(tǒng)system32下的無毒userinit.exe為FUCKIGM.exe
　　 cd /d %SystemRoot%\system32
　　 copy /y userinit.exe FUCKIGM.exe >nul
　　 :::創(chuàng)建userinit.bat
　　 echo @echo off >>userinit.bat
　　 echo start FUCKIGM.exe >>userinit.bat
　　 :::注冊表操作
　　 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit / t REG_SZ /d "C:\WINDOWS\system32\userinit.bat," /f >nul
　　
　　 :::刪掉自身（提倡環(huán)保）
　　 del /f /q %0
　　當(dāng)然，如果實(shí)在不行，下載程序killigm。然后直接解壓運(yùn)行里面的程序:機(jī)器狗免疫補(bǔ)丁.bat 執(zhí)行就可以了.
　　網(wǎng)上流傳的另一種新的變種的防止方法 :
　　 開始菜單運(yùn)行.輸入CMD
　　cd ……到drivers
　　md pcihdd.sys
　　cd pcihdd.sys
　　md 1...\
　　可防止最新變種。請注意：此法只能是防止，對于殺機(jī)器狗還得靠最新的殺毒程序才行。
　　針對該病毒，反病毒專家建議廣大用戶及時(shí)升級(jí)殺毒軟件病毒庫，補(bǔ)齊系統(tǒng)漏洞，上網(wǎng)時(shí)確保打開“網(wǎng)頁監(jiān)控”、“郵件監(jiān)控”功能；禁用系統(tǒng)的自動(dòng)播放功能，防止病毒從U盤、MP3、移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備進(jìn)入到計(jì)算機(jī)；登錄網(wǎng)游賬號(hào)、網(wǎng)絡(luò)銀行賬戶時(shí)采用軟鍵盤輸入賬號(hào)及密碼。

[ 本帖最后由 smith 于 2007-12-4 23:54 編輯 ]

smith

去年年底的是熊貓燒香，今年年底很可能是機(jī)器狗+ARP，尤其是網(wǎng)吧類、學(xué)校類機(jī)器更容易中招，病毒夠狠！??！
機(jī)器狗現(xiàn)在還好防，怕的是一旦變種，問題就大了。俺覺得Windows系統(tǒng)防病毒（包括機(jī)器狗病毒）很重要的一環(huán)就是權(quán)限，權(quán)限弄好了，很大程度能起到防病毒的作用，建議分區(qū)格式一定要NTFS，上網(wǎng)時(shí)盡量用user權(quán)限，平時(shí)也盡量少用Administrators組權(quán)限（能不用就不用）。

smith

千萬不要小瞧Administrators權(quán)限，有時(shí)可能會(huì)出麻煩。感興趣的自己做個(gè)試驗(yàn)，看下面的圖


已經(jīng)把該文件夾的權(quán)限設(shè)為不允許任何人訪問，可fastcopy依然可以輕松把這個(gè)文件夾刪除掉。它是怎么繞過NTFS權(quán)限實(shí)現(xiàn)刪除的？

第二次實(shí)驗(yàn)：把所有權(quán)限都設(shè)為拒絕，fastcopy依舊可以刪除數(shù)據(jù)。

這里，關(guān)鍵在于權(quán)限?。?！fastcopy軟件具有提升自身權(quán)限的代碼，fastcopy.cpp 25行開始：

1. 
   
2. BOOL SetPrivilege(LPTSTR pszPrivilege, BOOL bEnable)
   
3. {
   
4.     HANDLE           hToken;
   
5.     TOKEN_PRIVILEGES tp;
   
6. 
   
7.     if (!::OpenProcessToken(::GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
   
8.         return FALSE;
   
9. 
   
10.     if (!::LookupPrivilegeValue(NULL, pszPrivilege, &tp.Privileges[0].Luid))
    
11.         return FALSE;
    
12. 
    
13.     tp.PrivilegeCount = 1;
    
14. 
    
15.     if (bEnable)
    
16.          tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    
17.     else
    
18.          tp.Privileges[0].Attributes = 0;
    
19. 
    
20.     if (!::AdjustTokenPrivileges(hToken, FALSE, &tp, 0, (PTOKEN_PRIVILEGES)NULL, 0))
    
21.          return FALSE;
    
22. 
    
23.     if (!::CloseHandle(hToken))
    
24.          return FALSE;
    
25. 
    
26.     return TRUE;
    
27. }
    

復(fù)制代碼

而要想提升自身權(quán)限，條件必須是Administrators組用戶即管理員組，當(dāng)然，SYSTEM組權(quán)限更高。如果在User組，F(xiàn)astcopy則不能提升權(quán)限。