機械狗木馬是用一個C語言編寫的木馬病毒。病毒運行後會刪除系統目錄下的userinit.exe,並建立一個包含病毒的userinit.exe,隨系統每次啟動時載入到系統中。此檔案運行後會在系統的
基本介紹
來歷,詳細介紹,特徵原理,判斷方法,現象及危害,防禦建議,
來歷
曾經有很多人說有穿透還原卡、冰點的病毒,但是在各個論壇都沒有樣本證據,直到2007年8月29日終於有人在社區里貼出了一個樣本。這個病毒沒有名字,圖示是SONY的機器狗阿寶,就像前輩“熊貓燒香”一樣,大家給它起了個名字叫機器狗。 此病毒採用hook系統的磁碟設備棧來達到穿透目的的,危害極大,可穿透當前技術條件下的任何軟體硬體還原!基本無法靠還原抵擋。已知的所有還原產品,都無法防止這種病毒的穿透感染和傳播。
機器狗是一個木馬下載器,感染後會自動從網路上下載木馬、病毒,危及用戶帳號的安全。機器狗運行後會釋放一個名為PCIHDD.SYS的驅動檔案,與原系統中還原軟體驅動進行硬碟控制權的爭奪,並通過替換userinit.exe檔案,實現開機啟動。
詳細介紹
2008年春,一款名為“機器狗”的木馬在網上大規模傳播。“機器狗木馬”據稱是比“熊貓燒香”還毒的木馬程式,具有變種眾多、傳播方式和途徑多樣化的特徵。 而2008年五一期間該木馬的諸多變種更是來勢洶洶,一方面其傳播手段更為廣泛:通過網頁掛馬、第三方軟體漏洞等方式大肆傳播;以另一方面破壞性也比過去更強:該木馬採用替換系統檔案方式,加速自身啟動速度,同時讓普通防毒軟體簡單方式查殺後對系統造成嚴重性後果。
機器狗,是一種病毒下載器,它可以給用戶的電腦下載大量的木馬、病毒、惡意軟體、外掛程式等。一旦中招,用戶的電腦便隨時可能感染任何木馬、病毒,這些木馬病毒會瘋狂地盜用用戶的隱私資料(如帳號密碼、私密檔案等),也會破壞作業系統,使用戶的機器無法正常運行,它還可以通過內部網路傳播、下載隨身碟病毒和Arp攻擊病毒,能引發整個網路的電腦全部自動重啟。對於網咖而言,機器狗就是劍指網咖而來,針對所有的還原產品設計,其破壞力可能會很快會超過熊貓燒香。
大。不僅如此,中招的用戶電腦還會被遠程控制,成為徹底的“肉雞”。這些“肉雞”能夠聯合起來向其他電腦進行攻擊。因此,有效杜絕機器狗木馬四代的傳播渠道,不僅是保護用戶自己電腦的安全,同時也是對其他用戶電腦進行保護。區域網路中一旦有一台電腦中招,就有可能導致整個網路癱瘓。
臨時解決方案:一是封IP58.221.254.103,二是在c:windowssystem32drivers下建立免疫檔案:pcihdd.sys。
特徵原理
“機器狗”病毒運行後,會在%WinDir%\System32\drivers目錄下釋放出一個名為pcihdd.sys的驅動程式,該檔案會接管冰點或者硬碟保護卡對硬碟的讀寫操作,這樣該病毒就破解了還原系統的保護,使冰點、硬碟保護卡實效。接著,該病毒會利用MS06-014和MS07-017系統漏洞和等多個套用軟體漏洞,從http://xx.exiao***.com/、http://www.h***.biz/、http://www.xqh***.com/等惡意網址下載多款網遊木馬,盜取包括傳奇、魔獸世界、征途、奇蹟等多款網遊帳號和密碼,嚴重威脅遊戲玩家數字財產的安全。正因為冰點還原軟體和硬碟保護卡大多在網咖使用,因此網咖成為該病毒發作的重災區。 一旦發現電腦工作異常,立刻下載機器狗木馬專殺工具並進行查殺,確保電腦安全。機器狗已變異至四代,專家稱機器狗四代已成為史上最強系統破壞王,破壞力遠超熊貓燒香。
新舊版本的特徵
2:新版本“機器狗”病毒採用UPX加殼,老版本“機器狗”病毒採用未知殼。
3:新版本“機器狗”病毒驅動檔案很小(1,536位元組),老版本“機器狗”病毒驅動檔案很大(6,768位元組)。
6:新版本“機器狗”病毒沒有對註冊表進行操作,老版本“機器狗”病毒有對註冊表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon”項進行操作
8:老版本“機器狗”病毒採用的是黑色機器小狗圖案的圖示,新版本機器狗病毒和程式圖示不定。
判斷方法
方法4:機器狗木馬四代是一種高危的感染型木馬,用戶一旦中招,在任務管理器中就會出現兩個EXPLORER.EXE或explorer.exe進程。另一個明顯特徵是,感染病毒應用程式無法運行,同時伴隨CPU滿負荷,電腦風扇運轉過快等外部表現。
現象及危害
1、替換系統常見進程,讓自身被自動執行的機率提高,被防毒軟體直接查殺的話會造成比較嚴重的系統問題 替換系統常見進程,讓自身被自動執行的機率提高
採用替換系統檔案而非感染形式,讓防毒軟體直接查殺導致嚴重系統問題,給用戶造成巨大損失
被替換系統檔案 | 系統檔案說明 | 若直接刪除後會導致的系統問題 |
C:\windows\system32\userinit.exe | 系統登錄相關檔案 | 導致永遠在“歡迎使用”的登錄畫面,輸入完密碼登錄後迅速又註銷到登錄畫面 |
C:\windows\Explorer.exe | 桌面和資源管理器主進程 | |
C:\windows\system32\ctfmon.exe | 系統輸入法控制程式相關 | 導致用戶的輸入法控制將會變得異常 |
2、到指定的網站後台下載盜號木馬並執行
會下載大量不同類型盜號木馬,如較為猖獗的拼音倒寫木馬
3、關閉安全類軟體
防禦建議
1、由於機器狗病毒是藉助於ARP欺騙的方式在區域網路中傳播,因此做好ARP欺騙的防範工作十分必要。有條件的網咖和企業,可以採用雙向綁定策略,在交換機或路由器上綁定好全網的IP-MAC地址,在客戶端綁定好網關的IP-MAC。這樣即便是區域網路中某台電腦感染了ARP病毒,該電腦也不會干擾全網的運行。雙向綁定策略是抵禦ARP病毒的好辦法。如果不具備雙向綁定的條件,可以採用劃分VLAN的方法,來隔離網路的不同區域,這樣可以把ARP病毒的危害降低到最小。 2、更新好系統漏洞補丁,尤其是網頁木馬常用漏洞:MS06-014和MS07-017。絕大部分的網頁木馬都是利用以上兩個系統漏洞入侵到計算機中的,因此打好補丁十分關鍵。
3、注意套用軟體版本的及時更新。“機器狗”病毒除了利用以上兩個系統漏洞通過網頁木馬的方式入侵到電腦中,還利用最為流行的套用軟體漏洞進行掛馬傳播,例如一些聊天工具漏洞、播放器軟體漏洞、網路電視軟體漏洞、遊戲軟體漏洞、甚至是一些常用的下載工具的漏洞都會成為病毒的傳播途徑。由於套用軟體的用戶群體更為廣泛,這也就成了病毒作者傳播病毒的又一“利器”。因此要注意軟體的版本,一定要使用從官方網站下載的最新版本的軟體,這點十分重要,不要使用老版本,因為老版本有很多漏洞。
4、禁用Windows系統的自動播放功能。這一點對個人用戶來說同樣重要,由於“機器狗”病毒還會利用隨身碟傳播,因此如果隨身碟中含有此病毒時,如果直接雙擊打開隨身碟,就會激活病毒,從而感染進電腦中。建議用戶通過組策略的方式禁用隨身碟的自動播放功能。
關閉自動播放功能方法如下:在“開始”選單的“運行”框中運行“gpedit.msc”命令,在“組策略”找到“計算機配置”和“用戶配置”下的“管理模板”功能,打開其中的“系統”選單中的“關閉自動播放”的設定,在其屬性裡面選擇“已啟用”,接著選擇“所有驅動器”,最後確定保存即可。江民防毒軟體“移動存儲接入防毒”能杜絕病毒利用移動設備(如:隨身碟、移動硬碟等)入侵用戶計算機,保護計算機系統安全。
5、及時升級防毒軟體病毒庫,上網時確保打開“網頁監控”、“郵件監控”功能。
