病毒分析
機器狗病毒
機器狗病毒病毒名稱:Trojan/Agent.pgz
中 文 名:機器狗
危害等級:★★★
影響平台:Win 9X/ME/NT/2000/XP/2003
病毒運行特徵:
機器狗病毒運行後,會在%WinDir%System32drivers 目錄下釋放出一個名為pcihdd.sys 的驅動程式,該檔案會接管冰點或者硬碟保護卡對硬碟的讀寫操作,這樣該病毒就破解了還原系統的保護,使冰點、硬碟保護卡實效。接著,該病毒會利用MS06-014和MS07-017系統漏洞和等多個套用軟體漏洞,從http://xx.exiao***.com/ 、http://www.h***.biz/ 、http://www.xqh***.com/ 等惡意網址下載多款網遊木馬,盜取包括傳奇、魔獸世界、征途、奇蹟等多款網遊帳號和密碼,嚴重威脅遊戲玩家數字財產的安全。正因為冰點還原軟體和硬碟保護卡大多在網咖使用,因此網咖成為該病毒發作的重災區。該病毒還會隨著ARP病毒傳播,因此對區域網路殺傷性極大。
入侵方法
機器狗本身會釋放出一個pcihdd.sys到drivers目錄,pcihdd.sys是一個底層硬碟驅動,提高自己的優先權接替還原卡或冰點的硬碟驅動,然後訪問指定的網址,這些網址只要連線就會自動下載大量的病毒與惡意外掛程式。然後修改
機器狗病毒重點是,一個病毒,如果以hook方式入侵系統,接替硬碟驅動的方式效率太低了,而且毀壞還原的方式這也不是最好的,還有就是這種技術套用範圍非常小,只有還原技術廠商範圍內有傳播,在這方面國際上也只有中國在用,所以,很可能就是行業內槓。
對於網咖而言,機器狗就是劍指網咖而來,針對所有的還原產品設計,可預見其破壞力很快會超過熊貓燒香。好在現在很多免疫補丁都以出現,發稿之日起,各大防毒軟體都以能查殺。
免疫補丁之爭
現在的免疫補丁之數是疫苗形式,以無害的樣本複製到drivers下,欺騙病毒以為本身以運行,起到阻止危害的目的。這種形式的問題是,有些用戶為了自身安全會在機器上運行一些查毒程式(比如QQ醫生之類)。這樣疫苗就會被誤認為是病毒,又要廢很多口舌。
快速診斷和解決方法
【故障現象】
機器狗病毒為一個木馬下載器,病毒採用hook系統的磁碟設備棧來達到穿透目的的,危害極大,可穿透目前技術條件下的任何軟體硬體還原!基本無法靠還原抵擋,可通過以下幾方面查看是否已中毒:
1、激發病毒後會在SYSTEM32下修改userinit.exe ,可通過查看版本信息看出,該檔案在系統目錄的 system32
機器狗病毒2、查看DRVERS目錄下產生pcihdd.sys驅動檔案,會在啟動項載入“cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32"啟動項,並在windows目錄會產生以上相應檔案,機器重啟後以上設定都會真實保存.
【運行原理】
機器狗是一個木馬下載器,感染後會自動從網路上下載木馬、病毒,危及用戶帳號的安全。機器狗運行後會釋放一個名為PCIHDD.SYS的驅動檔案,與原系統中還原軟體驅動進行硬碟控制權的爭奪,並通過替換userinit.exe檔案,實現開機啟動。
【HiPER上的快速查找】
從HiPER的上網監控中可以看到有區域網路主機和以下的IP位址發生聯接:
| 58.221.254.103 |
| 218.30.64.194 |
| 60.190.118.211 |
| 60.191.124.236 |
【PC上的解決辦法】
對於已中毒的用戶,建議將病毒主機斷網防毒、恢復系統鏡像或重做系統
【HiPER上的解決辦法】
艾泰路由器可以在艾泰設備的“高級配置”-“業務管理”中,使用URL禁止“tomwg.com” “ 8s7.net”, 然後使用IP過濾封掉如下IP:
| 58.221.254.103 |
| 218.30.64.194 |
| 60.190.118.211 |
| 60.191.124.236 |
1) WebUI 高級配置 組管理,建立一個工作組“all”(可以自定義名稱),包含整個網段的所有 IP位址(192.168.0.1--192.168.0.254)。
注意:這裡用戶區域網路段為 192.168.0.0/24,用戶應該根據實際使用的 IP位址段進行組 IP位址段指定。
機器狗病毒2)WebUI 高級配置 業務管理 業務策略配置,建立url過濾策略“f_1”(可以自定義名稱),禁止目的地址為tomwg.com的域名,按照下圖進行配置,保存。
機器狗病毒3)WebUI 高級配置 業務管理 業務策略列表中,可以查看到上一步建立的“f_1”的策略(“dns”、“dhcp”為系統自動生成的允許 dns 和 dhcp 數據包的策略,不必修改),同時系統自動生成一條名稱為“grp1_other”的策略,該策略禁止了所有外出的數據包,為了保障其他上網的正常進行,需要將此策略動作編輯為“允許” 。
機器狗病毒4)在上表中,單擊策略名“grp1_other”,在下面的表項中,將動作由“禁止” 編輯為“ 允許”,保存。
機器狗病毒5)重複步驟 2),將其他病毒連結URL和IP 等關閉。
機器狗病毒
機器狗病毒
機器狗病毒6)WebUI 高級配置-業務管理-全局配置中,取消“允許其他用戶”的選中,選中“啟用業務管理” ,保存。
機器狗病毒3、 注意:
1) 配置之前不能有命令生成的業務管理策略存在,否則可能導致 Web 界面生成的業務管理策略工作異常或者不生效。
2) 如果,已經有工作組存在,並且在業務管理中配置了策略,必須在 WebUI 高級配置-組管理中,將該網段所有用戶分配在相關的組中,然後在 WebUI-高級配置-業務管理中將每個組的外網相關病毒連結url或IP位址設為禁止訪問。
如何識別是否已中毒
是否中了機器狗的關鍵就在 Userinit.exe 檔案,該檔案在系統目錄的 system32 資料夾中,點擊右鍵查看屬性,如果在屬性視窗中看不到該檔案的版本標籤的話,說明已經中了機器狗。如果有版本標籤則正常。
臨時解決辦法:
一是在路由上封IP:
ROS腳本,要的自己加上去
/ ip firewall filter
add chain=forward content=yu.8s7.net action=reject comment="DF6.0"
add chain=forward content=www.tomwg.com action=reject
二是在c:windowssystem32drivers下建立免疫檔案: pcihdd.sys ,
三是把他要修改的檔案在做母盤的時候,就加殼並替換。
在%systemroot%system32drivers目錄下 建立個 明字 為 pcihdd.sys 的資料夾設定屬性為任何人禁止
批處理
md %systemroot%system32driverspcihdd.sys
cacls %systemroot%system32driverspcihdd.sys /e /p everyone:n
cacls %systemroot%system32userinit.exe /e /p everyone:r
exit
病毒新變種的危害性及表現
2008年3月,發現“機器狗”病毒再度泛濫,該病毒因為最初的版本採用電子狗的照片做圖示而被網民命名為“機器狗”病毒,該病毒的變種繁多,多表現出防毒軟體不能正常運行,啟動系統輸入口令登錄時,出現反覆註銷等問題。
機器狗病毒1、瞞天過海——修改進程使安全軟體失效
最新版本的機器狗病毒,在入侵成功後,下載了29個其它木馬,其中有一個AV終結者病毒的變種,該變種“有些技術含量”,其抗殺能力更強。在“機器狗”和AV終結者的聯手打擊下,中毒電腦會很慘。病毒進入系統後修改註冊表,讓幾乎所有安全軟體不能正常使用。據分析,該病毒針對多款防毒軟體的自保護功能進行改進,會令自保護功能失效。當前頁面有防毒、專殺、機器狗字樣時,視窗會被關閉,普通用戶可能不得不重裝。
2、暗渡陳倉——暗自下載各種木馬病毒
病毒在用戶無法察覺的情況下連線網路,自動在用戶的電腦里下載大量木馬、病毒、惡意軟體、外掛程式等。這些木馬病毒能夠竊取用戶的帳號密碼、私密檔案等各種隱私資料,(插一句,有人開始還懷疑陳冠希電腦中了此毒,導致大量艷照泄露)甚至破壞作業系統,使用戶的機器無法正常運行。還通過第三方軟體漏洞、下載隨身碟病毒和Arp攻擊病毒的方式進行瘋狂擴散傳播,造成整個區域網路癱瘓。
3、死纏爛打——難以徹底查殺
病毒將惡意代碼向真實的磁碟中執行修改覆蓋目標檔案,就算用戶計算機安裝了“還原保護程式”,唯一那個被修改覆蓋的真實磁碟檔案卻無法被還原。系統重新啟動後,由那個被修改覆蓋後的系統程式會再次下載安裝運行之前的惡意程式。因此該病毒生命力可謂相當頑強,被喻為——打不死的“小強”。
李鐵軍表示,用戶電腦一旦感染了機器狗新變種病毒,打開C:WINDOWSsystem32資料夾 (或打開系統對應目錄),找到userinit.exe、explorer.exe點擊右鍵查看檔案的屬性,若在屬性視窗中看不到檔案的版本標籤則說明該檔案已經被病毒替換。
據了解,機器狗病毒通過特殊技術直接改寫系統檔案,病毒驅動程式搶在系統還原卡驅動程式之前載入,這令很多網咖或學校機房管理員頭疼不已。穿透網咖還原軟體,還原卡,導致網咖系統無論如何重啟還原也不能恢復到原始安全狀態。對網管來說,系統還原卡在電腦重啟時,對磁碟檔案的修改自動還原到保護前的狀態是低成本的管理方法。而中了“機器狗”病毒之後,即使系統還原,也不能將機器狗寫入的驅動檔案刪除。
此外,機器狗病毒對個人用戶的影響也同樣大。因為不管計算機系統是否安裝“還原保護系統”程式,都會同樣下載非常多的盜號木馬等惡意程式進行安裝運行,造成用戶虛擬財產的損失。如果用戶計算機硬體配置比較低或者存在所下載的多個惡意程式中出現相互不兼容現象的話,將導致用戶計算機系統崩潰掉無法啟動運行。
作者相關
“機器狗”作者公開出售病毒
近日,“機器狗”病毒新變種頻出,網際網路面臨一場“狂犬病”考驗。而就在廣大網友對機器狗病毒深惡痛絕之
機器狗病毒需要購買VIP的話,可以聯繫我的QQ,並公然留下聯繫方式。
對此,反病毒專家李鐵軍指出,“病毒不斷進化,病毒製造者從簡單的破壞系統、炫耀技術到竊取用戶財產,蛻變的過程非常快。很多病毒製造者還是反病毒論壇的高手,他們從寫程式到傳播,再到銷售最後洗錢分賬,由此產生的黑客製造病毒的產業鏈令人觸目驚心。”而基於機器狗病毒危害的嚴重性,金山毒霸最新推出的機器狗/AV終結者/8749木馬專殺工具(http://www.duba.net/zhuansha/259.shtml)針對機器狗病毒的傳播特點,查殺更徹底。另外,用戶感染機器狗病毒後可能出現無法正常登錄防毒廠商網站的現象,用戶可到其他下載類網站下載專殺工具。
“機器狗”作者浮出水面 藐視法律公開出售病毒
2008年03月,“機器狗”病毒新變種頻出,網際網路面臨一場“狂犬病”考驗。金山毒霸反病毒工程師李鐵軍表示,“最新版本的機器狗病毒入侵成功後,會自動下載大量木馬、病毒、惡意軟體、外掛程式等,幾乎所有安全軟體均不能正常使用,大量用戶也因此而不得不選擇重灌系統。
就在廣大網友對機器狗病毒深惡痛絕之時,昨日,機器狗作者竟然浮出水面,而且公開叫賣,藐視法律。該病毒作者在部落格里叫囂3個VPN2個代理,“夠警察玩幾年”,言語粗俗,態度囂張。聲稱“免費版本要重啟後才生效,修改了載入驅動問題後的VIP版本沒有此BUG,VIP的可以過很多免疫。需要購買VIP的話聯繫QQ”,並公然留下聯繫方式,挑戰法律。下圖為這個機器狗生成器運行的界面,黑客產業鏈的“從業者”之囂張由此可見一斑。
機器狗病毒金山毒霸反病毒專家李鐵軍指出,“病毒不斷進化,病毒製造者從簡單的破壞系統、炫耀技術到竊取用戶財產,蛻變的過程非常快。很多病毒製造者還是反病毒論壇的高手,他們製造的病毒危害性很大。從寫程式到傳播,再
機器狗病毒據了解,一些論壇、貼吧上,類似“黑客基地站長長期收徒,主要教灰鴿子、抓雞、DDOS攻擊、木馬製作、網站入侵、網站掛馬、木馬脫殼、免殺、捆綁伺服器的製作與維護、網咖安全與入侵等,承接各類黑客業務”這樣的廣告比比皆是。06年末鬧的最凶的“熊貓燒香”,其製造者李俊,承認每天入賬收入近1萬元,獲利上千萬元。正是如此大的誘惑,才讓那些病毒製造者鋌而走險,有恃無恐。
基於機器狗病毒危害的嚴重性,各大防毒廠商也紛紛推出專殺工具。其中金山毒霸最新推出的機器狗/AV終結者/8749”木馬專殺工具,有效針對機器狗病毒的傳播特點,查殺更徹底。金山毒霸反病毒專家建議廣大用戶,由於機器狗病毒感染後可能出現無法正常登入防毒廠商網站的現象,用戶一旦感染該病毒可到其他下載類網站進行防毒工具下載,並使用。
相關下載
穿透還原病毒(機器狗)免疫補丁 http://www.gtxp2.com/down/download.asp?id=104
機器狗專殺工具 http://it.rising.com.cn/Channels/Service/2008-02/1201952872d45281.shtml
常見計算機病毒
| 隨著電腦的普及,幾乎所有的電腦用戶都已知道“計算機病毒”這一名詞。對於大多數計算機用戶來說,談到“計算機病毒”似乎覺得它深不可測,無法琢磨。那么比較常見的病毒有哪些呢? |
