機械狗是什麼病毒
下面由小編來給你詳細的介紹下,希望對你有幫助哦!
機械狗病毒:
機器狗的生前身後,曾經有很多人說有穿透還原卡、冰點的病毒,但是在各個論壇都沒有樣本證據,直到2007年8月29日終於有人在社群裡貼出了一個樣本。這個病毒沒有名字,圖示是SONY的機器狗阿寶,就像前輩熊貓燒香一樣,大家給它起了個名字叫機器狗。 工作原理 機器狗本身會釋放出一個pcihdd.sys到drivers目錄,pcihdd.sys是一個底層硬碟驅動,提高自己的優先順序接替還原卡或冰點的硬碟驅動,然後訪問指定的網址,這些網址只要連線就會自動下載大量的病毒與惡意外掛。然後修改接管啟動管理器,最可怕的是,會通過內部網路傳播,一臺中招,能引發整個網路的電腦全部自動重啟。 重點是,一個病毒,如果以hook方式入侵系統,接替硬碟驅動的方式效率太低了,而且毀壞還原的方式這也不是最好的,還有就是這種技術應用範圍非常小,只有還原技術廠商範圍內有傳播,在這方面國際上也只有中國在用,所以,很可能就是行業內槓。 對於網咖而言,機器狗就是劍指網咖而來,針對所有的還原產品設計,可預見其破壞力很快會超過熊貓燒香。好在現在很多免疫補丁都以出現,發稿之日起,各大防毒軟體都以能查殺。 免疫補丁之爭 現在的免疫補丁之數是疫苗形式,以無害的樣本複製到drivers下,欺騙病毒以為本身以執行,起到阻止危害的目的。這種形式的問題是,有些使用者為了自身安全會在機器上執行一些查毒程式***比如QQ醫生之類***。這樣疫苗就會被誤認為是病毒,又要廢很多口舌。 解決之道 最新的解決方案是將system32/drivers目錄單獨分配給一個使用者,而不賦予administror修改的許可權。雖然這樣能解決,但以後安裝驅動就是一件頭疼的事了。
來徹底清除該病毒,處理後重啟一下電腦就可以了,之前要打上補丁! 或者這樣:
1登錄檔,組策略中禁止執行userinit.exe 程序
2 在啟動專案中加入批處理 A : 強制結束userinit.exe程序 Taskkill /f /IM userinit.exe ***其中“/IM”引數後面為程序的影象名,這命令只對XP使用者有效*** B : 強制刪除userinit.exe檔案 DEL /F /A /Q %SystemRoot%\system32\userinit.exe C : 建立userinit.exe免疫檔案到%SystemRoot%\system32\ 命令:md %SystemRoot%\system32\userinit.exe >nul 2>nul 或者 md %SystemRoot%\system32\userinit.exe attrib +s +r +h +a %SystemRoot%\system32\userinit.exe D : reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe" /v debugger /t reg_sz /d debugfile.exe /f userinit1.exe是正常檔案改了名字,多加了一個
1,你也可以自己修改,不過要手動修改這4個登錄檔,並匯出,這個批處理才能正常使用。 最新動向 好像機器狗的開發以停止了,從樣本放出到現在也沒有新的版本被發現,這到讓我們非常擔心,因為雖著研究的深入,現在防禦的手段都是針對病毒工作原理的,一但機器狗開始更新,稍加改變工作原理就能大面積逃脫普遍的防禦手段,看來機器狗的爆發只是在等待,而不是大家可以高枕了。 目前網上流傳一種叫做機器狗的病毒,此病毒採用hook系統的磁碟裝置棧來達到穿透目的的,危害極大,可穿透目前技術條件下的任何軟體硬體還原!基本無法靠還原抵擋。目前已知的所有還原產品,都無法防止這種病毒的穿透感染和傳播。 機器狗是一個木馬下載器,感染後會自動從網路上下載木馬、病毒,危及使用者帳號的安全。 機器狗執行後會釋放一個名為PCIHDD.SYS的驅動檔案,與原系統中還原軟體驅動進行硬碟控制權的爭奪,並通過替換userinit.exe檔案,實現開機啟動。 >> 那麼如何識別是否已中毒呢? 是否中了機器狗的關鍵就在 Userinit.exe 檔案,該檔案在系統目錄的 system32 資料夾中,點選右鍵檢視屬性,如果在屬性視窗中看不到該檔案的版本標籤的話,說明已經中了機器狗。如果有版本標籤則正常。 臨時解決辦法: 一是在路由上封IP: ROS指令碼,要的自己加上去 / ip firewall filter add chain=forward content=yu.8s7.net action=reject comment="DF6.0" add chain=forward content= action=reject 二是在c:\windows\system32\drivers下建立免疫檔案: pcihdd.sys , 三是把他要修改的檔案在做母盤的時候,就加殼並替換。 在%systemroot%\system32\drivers\目錄下 建立個 明字 為 pcihdd.sys 的資料夾 設定屬性為 任何人禁止 批處理 md %systemroot%\system32\drivers\pcihdd.sys cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n cacls %systemroot%\system32\userinit.exe /e /p everyone:r exit 目前,網路流行以下解決方法,或者可以在緊急情況下救急: 1、首先在系統system32下複製個無毒的userinit.exe,檔名為FUCKIGM.exe***檔名可以任意取***,這就是下面批處理要指向執行的檔案!也就是開機啟動userinit.exe的替代品!而原來的userinit.exe保留!其實多複製份的目的只是為了多重保險!可能對防止以後變種起到一定的作用。
2、建立個檔名為userinit.bat的批處理***檔名也可任意取,但要和下面說到的登錄檔鍵值保持一致即可***,內容如下: start FUCKIGM.exe ***呵呵,夠簡單吧?***
3、修改登錄檔鍵值,將userinit.exe改為userinit.bat。內容如下: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.bat," 就這3步,讓這條狗再也凶不起來!這是在windows 2003測試的,雙擊機器狗後,沒什麼反應,對比批處理也是正常,即這狗根本沒改動它!開關機遊戲均無異常!但唯一美中不足的是,採用經典模式開機的啟動時會出現個一閃而過的黑框! 如果嫌麻煩,也不要緊。上面三條批處理網友已搞好了,直接複製下面的這個存為批處理執行就OK了。三步合二為一 @echo off :::直接複製系統system32下的無毒userinit.exe為FUCKIGM.exe cd /d %SystemRoot%\system32 copy /y userinit.exe FUCKIGM.exe >nul :::建立userinit.bat echo @echo off >>userinit.bat echo start FUCKIGM.exe >>userinit.bat :::登錄檔操作 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit / t REG_SZ /d "C:\WINDOWS\system32\userinit.bat," /f >nul :::刪掉自身***提倡環保*** del /f /q %0 當然,如果實在不行,下載程式killigm。然後直接解壓執行裡面的程式:機器狗免疫補丁.bat 執行就可以了. 網上流傳的另一種新的變種的防止方法 : 開始選單執行.輸入CMD cd ……到drivers md pcihdd.sys cd pcihdd.sys md 1...\ 可防止最新變種。請注意:此法只能是防止,對於殺機器狗還得靠最新的防毒程式才行。 針對該病毒,反病毒專家建議廣大使用者及時升級防毒軟體病毒庫,補齊系統漏洞,上網時確保開啟“網頁監控”、“郵件監控”功能;禁用系統的自動播放功能,防止病毒從U盤、MP3、行動硬碟等移動儲存裝置進入到計算機;登入網遊賬號、網路銀行賬戶時採用軟鍵盤輸入賬號及密碼。