【转贴】注意防止机器狗病毒

smith

机器狗的生前身后
曾经有很多人说有穿透还原卡、冰点的病毒，但是在各个论坛都没有样本证据，直到2007年8月29日终于有人贴出了一个样本。这个病毒没有名字，图标是SONY的机器狗阿宝，就像前辈熊猫烧香一样，大家给它起了个名字叫机器狗。

传说中的机器狗

工作原理
机器狗本身会释放出一个pcihdd.sys到drivers目录，pcihdd.sys是一个底层硬盘驱动，提高自己的优先级接替还原卡或冰点的硬盘驱动，然后访问指定的网址，这些网址只要连接就会自动下载大量的病毒与恶意插件。然后修改接管启动管理器，最可怕的是，会通过内部网络传播，一台中招，能引发整个网络的电脑全部自动重启。

重点是，一个病毒，如果以hook方式入侵系统，接替硬盘驱动的方式效率太低了，而且毁坏还原的方式这也不是最好的，还有就是这种技术应用范围非常小，只有还原技术厂商范围内有传播，在这方面国际上也只有中国在用，所以，很可能就是行业内杠。

对于网吧学校而言，机器狗就是剑指网吧学校而来，针对所有的还原产品设计，可预见其破坏力很快会超过熊猫烧香。好在现在很多免疫补丁都以出现，发稿之日起，各大杀毒软件都以能查杀。

免疫补丁之争
现在的免疫补丁之数是疫苗形式，以无害的样本复制到drivers下，欺骗病毒以为本身以运行，起到阻止危害的目的。这种形式的问题是，有些用户为了自身安全会在机器上运行一些查毒程序（比如QQ医生之类）。这样疫苗就会被误认为是病毒，又要废很多口舌。

解决之道
最新的解决方案是将system32/drivers目录单独分配给一个用户，而不赋予administror修改的权限。虽然这样能解决，但以后安装驱动就是一件头疼的事了。

最新动向
好像机器狗的开发以停止了，从样本放出到现在也没有新的版本被发现，这到让我们非常担心，因为虽着研究的深入，现在防御的手段都是针对病毒工作原理的，一但机器狗开始更新，稍加改变工作原理就能大面积逃脱普遍的防御手段，看来机器狗的爆发只是在等待，而不是大家可以高枕了。目前我己发现机器狗病毒与各类arp病毒结合起来,威金病毒都包含!可以说ARP病毒，大大的推动了ROS应用，机械狗，可能会大大的推动无盘的应用!
机器狗是一个木马下载器，感染后会自动从网络上下载木马、病毒，危及用户帐号的安全。
机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件，与原系统中还原软件驱动进行硬盘控制权的争夺，并通过替换userinit.exe文件，实现开机启动。

那么如何识别是否已中毒呢？

是否中了机器狗的关键就在 Userinit.exe 文件，该文件在系统目录的 system32 文件夹中，点击右键查看属性，如果在属性窗口中看不到该文件的版本标签的话，说明已经中了机器狗。如果有版本标签则正常。

　　目前，网络流行以下解决方法，或者可以在紧急情况下救急：
　　1、首先在系统system32下复制个无毒的userinit.exe，文件名为FUCKIGM.exe(文件名可以任意取)，这就是下面批处理要指向执行的文件！也就是开机启动userinit.exe的替代品！而原来的userinit.exe保留！其实多复制份的目的只是为了多重保险！可能对防止以后变种起到一定的作用。
　　2、创建个文件名为userinit.bat的批处理（文件名也可任意取，但要和下面说到的注册表键值保持一致即可），内容如下：
　　 start FUCKIGM.exe (呵呵，够简单吧？)
　　 3、修改注册表键值，将userinit.exe改为userinit.bat。内容如下：
　　
　　 Windows Registry Editor Version 5.00
　　 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
　　 "Userinit"="C:\\WINDOWS\\system32\\userinit.bat,"
　　就这3步，让这条狗再也凶不起来！这是在windows 2003测试的，双击机器狗后，没什么反应，对比批处理也是正常，即这狗根本没改动它！开关机游戏均无异常！但唯一美中不足的是，采用经典模式开机的启动时会出现个一闪而过的黑框！

狗再也凶不起来了


　　如果嫌麻烦，也不要紧。上面三条批处理网友已搞好了，直接复制下面的这个存为批处理执行就OK了。三步合二为一
　　 @echo off
　　 :::直接复制系统system32下的无毒userinit.exe为FUCKIGM.exe
　　 cd /d %SystemRoot%\system32
　　 copy /y userinit.exe FUCKIGM.exe >nul
　　 :::创建userinit.bat
　　 echo @echo off >>userinit.bat
　　 echo start FUCKIGM.exe >>userinit.bat
　　 :::注册表操作
　　 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit / t REG_SZ /d "C:\WINDOWS\system32\userinit.bat," /f >nul
　　
　　 :::删掉自身（提倡环保）
　　 del /f /q %0
　　当然，如果实在不行，下载程序killigm。然后直接解压运行里面的程序:机器狗免疫补丁.bat 执行就可以了.
　　网上流传的另一种新的变种的防止方法 :
　　 开始菜单运行.输入CMD
　　cd ……到drivers
　　md pcihdd.sys
　　cd pcihdd.sys
　　md 1...\
　　可防止最新变种。请注意：此法只能是防止，对于杀机器狗还得靠最新的杀毒程序才行。
　　针对该病毒，反病毒专家建议广大用户及时升级杀毒软件病毒库，补齐系统漏洞，上网时确保打开“网页监控”、“邮件监控”功能；禁用系统的自动播放功能，防止病毒从U盘、MP3、移动硬盘等移动存储设备进入到计算机；登录网游账号、网络银行账户时采用软键盘输入账号及密码。

[ 本帖最后由 smith 于 2007-12-4 23:54 编辑 ]

smith

去年年底的是熊猫烧香，今年年底很可能是机器狗+ARP，尤其是网吧类、学校类机器更容易中招，病毒够狠！！！
机器狗现在还好防，怕的是一旦变种，问题就大了。俺觉得Windows系统防病毒（包括机器狗病毒）很重要的一环就是权限，权限弄好了，很大程度能起到防病毒的作用，建议分区格式一定要NTFS，上网时尽量用user权限，平时也尽量少用Administrators组权限（能不用就不用）。

smith

千万不要小瞧Administrators权限，有时可能会出麻烦。感兴趣的自己做个试验，看下面的图


已经把该文件夹的权限设为不允许任何人访问，可fastcopy依然可以轻松把这个文件夹删除掉。它是怎么绕过NTFS权限实现删除的？

第二次实验：把所有权限都设为拒绝，fastcopy依旧可以删除数据。

这里，关键在于权限！！！fastcopy软件具有提升自身权限的代码，fastcopy.cpp 25行开始：

1. 
   
2. BOOL SetPrivilege(LPTSTR pszPrivilege, BOOL bEnable)
   
3. {
   
4.     HANDLE           hToken;
   
5.     TOKEN_PRIVILEGES tp;
   
6. 
   
7.     if (!::OpenProcessToken(::GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
   
8.         return FALSE;
   
9. 
   
10.     if (!::LookupPrivilegeValue(NULL, pszPrivilege, &tp.Privileges[0].Luid))
    
11.         return FALSE;
    
12. 
    
13.     tp.PrivilegeCount = 1;
    
14. 
    
15.     if (bEnable)
    
16.          tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    
17.     else
    
18.          tp.Privileges[0].Attributes = 0;
    
19. 
    
20.     if (!::AdjustTokenPrivileges(hToken, FALSE, &tp, 0, (PTOKEN_PRIVILEGES)NULL, 0))
    
21.          return FALSE;
    
22. 
    
23.     if (!::CloseHandle(hToken))
    
24.          return FALSE;
    
25. 
    
26.     return TRUE;
    
27. }
    

复制代码

而要想提升自身权限，条件必须是Administrators组用户即管理员组，当然，SYSTEM组权限更高。如果在User组，Fastcopy则不能提升权限。