Board logo

标题: 【3AST分享】机器狗 [打印本页]

作者: 2000gaobo    时间: 2009-2-11 12:16     标题: 【3AST分享】机器狗

机器狗
人家中了  找自己给做系统 才有关注到

现象:装了影子系统的机器上,突然上不去网了,可以ping通局域网,可是无法访问互联网。机器很慢,用安全卫士360查看,一打开就给关上了。有影子系统的保护怎么会中毒呢?!我于是采用一般的方法进行处理:1、进入安全模式,发现桌面无法打开。打开任务管理器,从新建任务处打开安全卫士360,清除木马和恶意软件,清除临时文件,清除可疑项,修复IE。2、打开杀毒软件杀毒。3、从别的机器上复制explorer.exe到种毒机器。重启。

通过以上处理,又能上网了。刚轻松了一下,就发现情况不对,没过五钟,机器又有点慢了,打开任务管理器-网络发现有东西时不时在偷用网络,进程中有突然出现的0.exe和其它.exe文件,出现后又消失。于是马上意识到有东西在网上下载病毒、木马安装到我的机器中,于是马上断网。


以上情况说明我的处理方法还有没有清理掉的病毒或木马。结合能突破影子系统的特点,我想可能是中了机器狗了。

下面是安全卫士360官方网站上对机器狗木马病毒的介绍:

机器狗木马病毒简介

中毒症状:

如果360无法打开或者打开之后被关闭,系统变的非常慢,系统时间莫名其妙被更改."我的电脑"的图标不正确,输入法无法打开,说明可能中了机器狗。(这里安全卫士说的不完全,仅供参考)

如果打开C:\WINDOWS\system32文件夹(如果您的系统不在c盘安装,请找到对应的目录),找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe文件,点击右键查看属性,如果在属性窗口中看不到文件的版本标签的话,说明已经中了机器狗。(这一点很重要,当然不一定会四个文件都有问题,我的就是只有userinit.exe、explorer.exe两个文件有问题)

机器狗木马病毒简介:

机器狗,是一种病毒下载器,它可以给用户的电脑下载大量的木马、病毒、恶意软件、插件等。一旦中招,用户的电脑便随时可能感染任何木马、病毒,这些木马病毒会疯狂地盗用用户的隐私资料(如帐号密码、私密文件等),也会破坏操作系统,使用户的机器无法正常运行,它还可以通过内部网络传播、下载U盘病毒和Arp攻击病毒,能引发整个网络的电脑全部自动重启。对于网吧而言,机器狗就是剑指网吧而来,针对所有的还原产品设计,其破坏力可能会很快会超过熊猫烧香。

机器狗工作原理:

机器狗工作原理:机器狗本身会释放出一个pcihdd.sys到drivers目录,pcihdd.sys是一个底层硬盘驱动,提高自己的优先级接替还原卡或冰点的硬盘驱动,然后访问指定的网址,这些网址只要连接就会自动下载大量的病毒与恶意插件(这一点现在也出现新的变化)。

下面是我的处理方法:

1、断网。

2、从网上下载机器狗专杀工具http://360safe.qihoo.com/killer/k-rodog.html,直接查杀后重启,然后再查杀。

3、打开安全卫士360(如果打不开可以启动到安全模式),查杀木马和恶意软件,清除临时文件,清除可疑项,修复IE。

4、最后用最新杀毒软件查杀病毒。

5、如果感觉还不安全,可以从第二步开始再来一次,就可以解决了。

6、查看C:\WINDOWS\system32\drivers文件夹下有没有txt文件,比如0.txt,1.txt,2.txt等等,时间排序后把同一时间相关可疑的删除。(这是我的里面出现的,别人的可能没有)。再查看C:\WINDOWS\system32\下面有没有和刚才的txt同一时间产生的文件,如果有也可以删除(这里要慎重些,看看是不是有用,最好先把它们改下名字,重启电脑没问题后再删除也不迟)
作者: 风ZHI子123    时间: 2009-2-11 12:16

机器狗病毒介绍:

机器狗的生前身后
曾经有很多人说有穿透还原卡、冰点的病毒,但是在各个论坛都没有样本证据,直到2007年8月29日终于有人在社区里贴出了一个样本。这个病毒没有名字,图标是SONY的机器狗阿宝,就像前辈熊猫烧香一样,大家给它起了个名字叫机器狗。

工作原理

机器狗本身会释放出一个pcihdd.sys到drivers目录,pcihdd.sys是一个底层硬盘驱动,提高自己的优先级接替还原卡或冰点的硬盘驱动,然后访问指定的网址,这些网址只要连接就会自动下载大量的病毒与恶意插件。然后修改接管启动管理器,最可怕的是,会通过内部网络传播,一台中招,能引发整个网络的电脑全部自动重启。

重点是,一个病毒,如果以hook方式入侵系统,接替硬盘驱动的方式效率太低了,而且毁坏还原的方式这也不是最好的,还有就是这种技术应用范围非常小,只有还原技术厂商范围内有传播,在这方面国际上也只有中国在用,所以,很可能就是行业内杠。

对于网吧而言,机器狗就是剑指网吧而来,针对所有的还原产品设计,可预见其破坏力很快会超过熊猫烧香。好在现在很多免疫补丁都以出现,发稿之日起,各大杀毒软件都以能查杀。

免疫补丁之争

现在的免疫补丁之数是疫苗形式,以无害的样本复制到drivers下,欺骗病毒以为本身以运行,起到阻止危害的目的。这种形式的问题是,有些用户为了自身安全会在机器上运行一些查毒程序(比如QQ医生之类)。这样疫苗就会被误认为是病毒,又要废很多口舌。

解决之道

最新的解决方案是将system32/drivers目录单独分配给一个用户,而不赋予administror修改的权限。虽然这样能解决,但以后安装驱动就是一件头疼的事了。

最新动向

好像机器狗的开发以停止了,从样本放出到现在也没有新的版本被发现,这到让我们非常担心,因为虽着研究的深入,现在防御的手段都是针对病毒工作原理的,一但机器狗开始更新,稍加改变工作原理就能大面积逃脱普遍的防御手段,看来机器狗的爆发只是在等待,而不是大家可以高枕了。

目前网上流传一种叫做机器狗的病毒,此病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。
机器狗是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户帐号的安全。
机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,并通过替换userinit.exe文件,实现开机启动。

>> 那么如何识别是否已中毒呢?

是否中了机器狗的关键就在 Userinit.exe 文件,该文件在系统目录的 system32 文件夹中,点击右键查看属性,如果在属性窗口中看不到该文件的版本标签的话,说明已经中了机器狗。如果有版本标签则正常。

临时解决办法:

一是在路由上封IP:
ROS脚本,要的自己加上去
Quotation
/ ip firewall filter
add chain=forward content=yu.8s7.net action=reject comment="DF6.0"
add chain=forward content=www.tomwg.com action=reject


二是在c:\windows\system32\drivers下建立免疫文件: pcihdd.sys ,
三是把他要修改的文件在做母盘的时候,就加壳并替换。
在%systemroot%\system32\drivers\目录下 建立个 明字 为 pcihdd.sys 的文件夹 设置属性为 任何人禁止
批处理
md %systemroot%\system32\drivers\pcihdd.sys
cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
cacls %systemroot%\system32\userinit.exe /e /p everyone:r
exit


专杀工具

本工具可检测并查杀机器狗病毒,可穿透机器狗所能穿透的还原系统来修复被感染的文件。本工具还具有免疫的功能,针对已知机器狗变种进行免疫,防止再次感染。另外,可使用命令行方式进行杀毒,便于自动化操作,建议网吧等场所设置为开机自动杀毒,减少重复作业。



Download ( 123 downloads)
Click to download: RodogKiller1.2.zip




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2