科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网服务器频道机器狗病毒穿透DF小哨兵还原卡的解决方案

机器狗病毒穿透DF小哨兵还原卡的解决方案

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

中毒症状:就是打开我的电脑,或者打开IE,在只开一个窗口的情况下,把打开的窗口关闭,桌面进程就会重启。
  • 评论
  • 分享微博
  • 分享邮件

  中毒症状:就是打开我的电脑,或者打开IE,在只开一个窗口的情况下,把打开的窗口关闭,桌面进程就会重启

经过对样本的分析和测试,DF6.0、DF6.1、DF6.2及以前版本三茗,小哨兵还原卡均被成功穿透,(此病毒对德天信山还原卡无效)这是一个木马下载器,下载器通过名为PCIHDD.SYS驱动文件进行与DF的硬盘控制权的争夺,并修改userinit.exe文件。实现彻底的隐蔽开机启动。目前的临时解决方案:一是封IP 58.221.254.103,二是在c:windowssystem32drivers下建立免疫文件: pcihdd.sys

  木马联网后的下载内容

  http://yu.8s7.net/cert.cer

  http://www.tomwg.com/mm/mm.jpg

  http://www.tomwg.com/mm/wow.jpg

  http://www.tomwg.com/mm/mh011.jpg

  http://www.tomwg.com/mm/zt.jpg

  http://www.tomwg.com/mm/wl.jpg

  http://www.tomwg.com/mm/wd.jpg

  http://www.tomwg.com/mm/tl.jpg

  http://www.tomwg.com/mm/dh3.jpg

  http://www.tomwg.com/mm/my.jpg

  请将以上IP在路由里屏蔽连接。

  病毒样本

  explorer.rar

  机器狗免疫补丁

  机器狗免疫补丁.rar

  对机器狗病毒测试结果

  测试环境:xpsp2,补丁打到最新,安装冰点6.2单机版,全盘保护。测试开始,打开windowssystem32 找到userinit.exe 文件,进行监视

    

  然后运行机器狗:  

  

  鼠标闪了一下,再看userinit.exe ,文件没有被修改,这时重启电脑后,没有发现中毒现象。不死心,然后继续运行一遍机器狗,userinit.exe 仍然没有被改,接着连续双击机器狗4-5次这样,“奇迹”出现了: 

  

  userinit.exe 的版本号不见了,这时重启电脑后,打开msconfig启动项,惨不忍睹啊:  

  

  我大概猜测了下病毒的感染过程,运行后,先是用pcihdd.sys与冰点抢硬盘控制权,但是会有抢不到的时候,也就是没有“穿透”成功。然而多运行几次后,机器狗终于获取了硬盘控制权,然后对userinit.exe 进行改写并“穿透”保存了下来。

  二,

  关于机器狗病毒(含驱动级防御)

  该病毒为一个木马下载器,病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡,可通过以下几方面查看是否已中毒.

  激发病毒后会在SYSTEM32下修改userinit.exe ,可通过查看版本信息看出,查看DRVERS目录下产生pcihdd.sys驱动文件,会在启动项加载“cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32"启动项,并在windows目录会产生以上相应文件,机器重启后以上设置都会真实保存.

  问:我们是怎么来防御的?

  通过禁止文件访问的形式来禁止病毒的运行,可自由设置配置文件并方便的加入到客户机启动运行列表项,具体操作如下:

  一、驱动内核层防御:( 从原理上防御 )

  .. 针对机器狗病毒对网吧业带来的巨大影响,强者公司经过日夜奋战,终于反编译了该木马大部分代码,提供机器狗病毒的终级解决方案,本着对用户负责的态度,现维护系统免费加入“驱动内核级”机器狗病毒防御,彻底杜绝机器狗病毒包括其变种的破坏.

  关键它是完全免费的.

  二、禁止文件访问法:( 初级防御)

  1.下载 "机器狗病毒防御补丁点击下载" , 把UnCracker.exe和UnCracker.ini两个文件放在服务端的一个共享目录下,(如:qzsenetgame1),并保证在客户机可以正常访问这个路径;

  2.打开服务端主控制器在随意哪台客户机上点右键-à运行工作站命令,加上如下图中所设置的工作站每次启动

编辑UnCracker.ini文件,如下所述:

  [system]

  1=c:windowshh.exe

  2=…

  [nosystem]

  1=C:WINDOWSsystem32driverspcihdd.sys(可防机器狗病毒)

  2=d:command.com

  3=d:Iexplores.exe

  以上内容可以根据用户需求自由添加,如防止arp运行时可在配置中加入"c:windowssystem32driversnpf.sys","c:windowssystem32packet.dll",

  "c:windowssystem32pthreadVC.dll","c:windowssystem32wpcap.dll".

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章