畜牧人

標(biāo)題: 【轉(zhuǎn)貼】注意防止機(jī)器狗病毒 [打印本頁]
作者: smith    時間: 2007-12-4 23:50
標(biāo)題: 【轉(zhuǎn)貼】注意防止機(jī)器狗病毒
機(jī)器狗的生前身后
曾經(jīng)有很多人說有穿透還原卡、冰點的病毒,但是在各個論壇都沒有樣本證據(jù),直到2007年8月29日終于有人貼出了一個樣本。這個病毒沒有名字,圖標(biāo)是SONY的機(jī)器狗阿寶,就像前輩熊貓燒香一樣,大家給它起了個名字叫機(jī)器狗。
(, 下載次數(shù): 44)
傳說中的機(jī)器狗

工作原理
機(jī)器狗本身會釋放出一個pcihdd.sys到drivers目錄,pcihdd.sys是一個底層硬盤驅(qū)動,提高自己的優(yōu)先級接替還原卡或冰點的硬盤驅(qū)動,然后訪問指定的網(wǎng)址,這些網(wǎng)址只要連接就會自動下載大量的病毒與惡意插件。然后修改接管啟動管理器,最可怕的是,會通過內(nèi)部網(wǎng)絡(luò)傳播,一臺中招,能引發(fā)整個網(wǎng)絡(luò)的電腦全部自動重啟。

重點是,一個病毒,如果以hook方式入侵系統(tǒng),接替硬盤驅(qū)動的方式效率太低了,而且毀壞還原的方式這也不是最好的,還有就是這種技術(shù)應(yīng)用范圍非常小,只有還原技術(shù)廠商范圍內(nèi)有傳播,在這方面國際上也只有中國在用,所以,很可能就是行業(yè)內(nèi)杠。

對于網(wǎng)吧學(xué)校而言,機(jī)器狗就是劍指網(wǎng)吧學(xué)校而來,針對所有的還原產(chǎn)品設(shè)計,可預(yù)見其破壞力很快會超過熊貓燒香。好在現(xiàn)在很多免疫補(bǔ)丁都以出現(xiàn),發(fā)稿之日起,各大殺毒軟件都以能查殺。

免疫補(bǔ)丁之爭
現(xiàn)在的免疫補(bǔ)丁之?dāng)?shù)是疫苗形式,以無害的樣本復(fù)制到drivers下,欺騙病毒以為本身以運行,起到阻止危害的目的。這種形式的問題是,有些用戶為了自身安全會在機(jī)器上運行一些查毒程序(比如QQ醫(yī)生之類)。這樣疫苗就會被誤認(rèn)為是病毒,又要廢很多口舌。

解決之道
最新的解決方案是將system32/drivers目錄單獨分配給一個用戶,而不賦予administror修改的權(quán)限。雖然這樣能解決,但以后安裝驅(qū)動就是一件頭疼的事了。

最新動向
好像機(jī)器狗的開發(fā)以停止了,從樣本放出到現(xiàn)在也沒有新的版本被發(fā)現(xiàn),這到讓我們非常擔(dān)心,因為雖著研究的深入,現(xiàn)在防御的手段都是針對病毒工作原理的,一但機(jī)器狗開始更新,稍加改變工作原理就能大面積逃脫普遍的防御手段,看來機(jī)器狗的爆發(fā)只是在等待,而不是大家可以高枕了。目前我己發(fā)現(xiàn)機(jī)器狗病毒與各類arp病毒結(jié)合起來,威金病毒都包含!可以說ARP病毒,大大的推動了ROS應(yīng)用,機(jī)械狗,可能會大大的推動無盤的應(yīng)用!
機(jī)器狗是一個木馬下載器,感染后會自動從網(wǎng)絡(luò)上下載木馬、病毒,危及用戶帳號的安全。
機(jī)器狗運行后會釋放一個名為PCIHDD.SYS的驅(qū)動文件,與原系統(tǒng)中還原軟件驅(qū)動進(jìn)行硬盤控制權(quán)的爭奪,并通過替換userinit.exe文件,實現(xiàn)開機(jī)啟動。

那么如何識別是否已中毒呢?

是否中了機(jī)器狗的關(guān)鍵就在 Userinit.exe 文件,該文件在系統(tǒng)目錄的 system32 文件夾中,點擊右鍵查看屬性,如果在屬性窗口中看不到該文件的版本標(biāo)簽的話,說明已經(jīng)中了機(jī)器狗。如果有版本標(biāo)簽則正常。

  目前,網(wǎng)絡(luò)流行以下解決方法,或者可以在緊急情況下救急:
  1、首先在系統(tǒng)system32下復(fù)制個無毒的userinit.exe,文件名為FUCKIGM.exe(文件名可以任意取),這就是下面批處理要指向執(zhí)行的文件!也就是開機(jī)啟動userinit.exe的替代品!而原來的userinit.exe保留!其實多復(fù)制份的目的只是為了多重保險!可能對防止以后變種起到一定的作用。
  2、創(chuàng)建個文件名為userinit.bat的批處理(文件名也可任意取,但要和下面說到的注冊表鍵值保持一致即可),內(nèi)容如下:
   start FUCKIGM.exe (呵呵,夠簡單吧?)
   3、修改注冊表鍵值,將userinit.exe改為userinit.bat。內(nèi)容如下:
  
   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "Userinit"="C:\\WINDOWS\\system32\\userinit.bat,"
  就這3步,讓這條狗再也兇不起來!這是在windows 2003測試的,雙擊機(jī)器狗后,沒什么反應(yīng),對比批處理也是正常,即這狗根本沒改動它!開關(guān)機(jī)游戲均無異常!但唯一美中不足的是,采用經(jīng)典模式開機(jī)的啟動時會出現(xiàn)個一閃而過的黑框!
(, 下載次數(shù): 40)
狗再也兇不起來了


  如果嫌麻煩,也不要緊。上面三條批處理網(wǎng)友已搞好了,直接復(fù)制下面的這個存為批處理執(zhí)行就OK了。三步合二為一
   @echo off
   :::直接復(fù)制系統(tǒng)system32下的無毒userinit.exe為FUCKIGM.exe
   cd /d %SystemRoot%\system32
   copy /y userinit.exe FUCKIGM.exe >nul
   :::創(chuàng)建userinit.bat
   echo @echo off >>userinit.bat
   echo start FUCKIGM.exe >>userinit.bat
   :::注冊表操作
   reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit / t REG_SZ /d "C:\WINDOWS\system32\userinit.bat," /f >nul
  
   :::刪掉自身(提倡環(huán)保)
   del /f /q %0
  當(dāng)然,如果實在不行,下載程序killigm。然后直接解壓運行里面的程序:機(jī)器狗免疫補(bǔ)丁.bat 執(zhí)行就可以了.
  網(wǎng)上流傳的另一種新的變種的防止方法 :
   開始菜單運行.輸入CMD
  cd ……到drivers
  md pcihdd.sys
  cd pcihdd.sys
  md 1...\
  可防止最新變種。請注意:此法只能是防止,對于殺機(jī)器狗還得靠最新的殺毒程序才行。
  針對該病毒,反病毒專家建議廣大用戶及時升級殺毒軟件病毒庫,補(bǔ)齊系統(tǒng)漏洞,上網(wǎng)時確保打開“網(wǎng)頁監(jiān)控”、“郵件監(jiān)控”功能;禁用系統(tǒng)的自動播放功能,防止病毒從U盤、MP3、移動硬盤等移動存儲設(shè)備進(jìn)入到計算機(jī);登錄網(wǎng)游賬號、網(wǎng)絡(luò)銀行賬戶時采用軟鍵盤輸入賬號及密碼。

[ 本帖最后由 smith 于 2007-12-4 23:54 編輯 ]
作者: smith    時間: 2007-12-5 00:05
去年年底的是熊貓燒香,今年年底很可能是機(jī)器狗+ARP,尤其是網(wǎng)吧類、學(xué)校類機(jī)器更容易中招,病毒夠狠?。?!
機(jī)器狗現(xiàn)在還好防,怕的是一旦變種,問題就大了。俺覺得Windows系統(tǒng)防病毒(包括機(jī)器狗病毒)很重要的一環(huán)就是權(quán)限,權(quán)限弄好了,很大程度能起到防病毒的作用,建議分區(qū)格式一定要NTFS,上網(wǎng)時盡量用user權(quán)限,平時也盡量少用Administrators組權(quán)限(能不用就不用)。
作者: smith    時間: 2007-12-5 00:13
千萬不要小瞧Administrators權(quán)限,有時可能會出麻煩。感興趣的自己做個試驗,看下面的圖
(, 下載次數(shù): 32)

已經(jīng)把該文件夾的權(quán)限設(shè)為不允許任何人訪問,可fastcopy依然可以輕松把這個文件夾刪除掉。它是怎么繞過NTFS權(quán)限實現(xiàn)刪除的?

第二次實驗:把所有權(quán)限都設(shè)為拒絕,fastcopy依舊可以刪除數(shù)據(jù)。

這里,關(guān)鍵在于權(quán)限!??!fastcopy軟件具有提升自身權(quán)限的代碼,fastcopy.cpp 25行開始:

  2. BOOL SetPrivilege(LPTSTR pszPrivilege, BOOL bEnable)
  3. {
  4.     HANDLE           hToken;
  5.     TOKEN_PRIVILEGES tp;

  7.     if (!::OpenProcessToken(::GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
  8.         return FALSE;

  10.     if (!::LookupPrivilegeValue(NULL, pszPrivilege, &tp.Privileges[0].Luid))
  11.         return FALSE;

  13.     tp.PrivilegeCount = 1;

  15.     if (bEnable)
  16.          tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
  17.     else
  18.          tp.Privileges[0].Attributes = 0;

  20.     if (!::AdjustTokenPrivileges(hToken, FALSE, &tp, 0, (PTOKEN_PRIVILEGES)NULL, 0))
  21.          return FALSE;

  23.     if (!::CloseHandle(hToken))
  24.          return FALSE;

  26.     return TRUE;
  27. }
復(fù)制代碼


而要想提升自身權(quán)限,條件必須是Administrators組用戶即管理員組,當(dāng)然,SYSTEM組權(quán)限更高。如果在User組,F(xiàn)astcopy則不能提升權(quán)限。



歡迎光臨 畜牧人 (http://ffers.com.cn/) Powered by Discuz! X3.5