至顶网›服务器频道 ›机器狗病毒穿透DF小哨兵还原卡的解决方案

机器狗病毒穿透DF小哨兵还原卡的解决方案

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

中毒症状：就是打开我的电脑，或者打开IE，在只开一个窗口的情况下，把打开的窗口关闭，桌面进程就会重启。

2008年4月15日

　　中毒症状：就是打开我的电脑，或者打开IE，在只开一个窗口的情况下，把打开的窗口关闭，桌面进程就会重启

经过对样本的分析和测试，DF6.0、DF6.1、DF6.2及以前版本三茗，小哨兵还原卡均被成功穿透，（此病毒对德天信山还原卡无效）这是一个木马下载器，下载器通过名为PCIHDD.SYS驱动文件进行与DF的硬盘控制权的争夺，并修改userinit.exe文件。实现彻底的隐蔽开机启动。目前的临时解决方案：一是封IP 58.221.254.103，二是在c:windowssystem32drivers下建立免疫文件： pcihdd.sys

　　木马联网后的下载内容

　　http://yu.8s7.net/cert.cer

　　http://www.tomwg.com/mm/mm.jpg

　　http://www.tomwg.com/mm/wow.jpg

　　http://www.tomwg.com/mm/mh011.jpg

　　http://www.tomwg.com/mm/zt.jpg

　　http://www.tomwg.com/mm/wl.jpg

　　http://www.tomwg.com/mm/wd.jpg

　　http://www.tomwg.com/mm/tl.jpg

　　http://www.tomwg.com/mm/dh3.jpg

　　http://www.tomwg.com/mm/my.jpg

　　请将以上IP在路由里屏蔽连接。

　　病毒样本

　　explorer.rar

　　机器狗免疫补丁

　　机器狗免疫补丁.rar

　　对机器狗病毒测试结果

　　测试环境：xpsp2，补丁打到最新，安装冰点6.2单机版，全盘保护。测试开始，打开windowssystem32 找到userinit.exe 文件，进行监视

　　然后运行机器狗：　　

　　鼠标闪了一下，再看userinit.exe ，文件没有被修改，这时重启电脑后，没有发现中毒现象。不死心，然后继续运行一遍机器狗，userinit.exe 仍然没有被改，接着连续双击机器狗4-5次这样，“奇迹”出现了：　

　　userinit.exe 的版本号不见了，这时重启电脑后，打开msconfig启动项，惨不忍睹啊：　　

　　我大概猜测了下病毒的感染过程，运行后，先是用pcihdd.sys与冰点抢硬盘控制权，但是会有抢不到的时候，也就是没有“穿透”成功。然而多运行几次后，机器狗终于获取了硬盘控制权，然后对userinit.exe 进行改写并“穿透”保存了下来。

　　二,

　　关于机器狗病毒(含驱动级防御)

　　该病毒为一个木马下载器，病毒采用hook系统的磁盘设备栈来达到穿透目的的，危害极大，可穿透目前技术条件下的任何软件硬件还原！基本无法靠还原抵挡，可通过以下几方面查看是否已中毒.

　　激发病毒后会在SYSTEM32下修改userinit.exe ，可通过查看版本信息看出，查看DRVERS目录下产生pcihdd.sys驱动文件，会在启动项加载“cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32"启动项，并在windows目录会产生以上相应文件，机器重启后以上设置都会真实保存.

　　问：我们是怎么来防御的？

　　通过禁止文件访问的形式来禁止病毒的运行，可自由设置配置文件并方便的加入到客户机启动运行列表项，具体操作如下:

　　一、驱动内核层防御：( 从原理上防御 )

　　.. 针对机器狗病毒对网吧业带来的巨大影响，强者公司经过日夜奋战，终于反编译了该木马大部分代码，提供机器狗病毒的终级解决方案，本着对用户负责的态度，现维护系统免费加入“驱动内核级”机器狗病毒防御，彻底杜绝机器狗病毒包括其变种的破坏.

　　关键它是完全免费的.

　　二、禁止文件访问法：( 初级防御)

　　1．下载 "机器狗病毒防御补丁点击下载" , 把UnCracker.exe和UnCracker.ini两个文件放在服务端的一个共享目录下,（如：qzsenetgame1），并保证在客户机可以正常访问这个路径；

　　2．打开服务端主控制器在随意哪台客户机上点右键-à运行工作站命令,加上如下图中所设置的工作站每次启动

编辑UnCracker.ini文件，如下所述：

　　[system]

　　1=c:windowshh.exe

　　2=…