关于机器狗

彻底清除机器狗木马的方法

机器狗木马有10多个变种!

%Temp%释放随机命名的P处理,建立pcihdd.sys文件夹

本身并不判断文件系统,直接P处理,保证pcihdd.sys、userinit.exe不被NTFS文件系统的权限控制:

Parent process:

Path: C:\WINNT\system32\CMD.EXE

PID: 468

Information: Windows NT Command Processor (Microsoft Corporation)

Child process:

Path: C:\WINNT\system32\cacls.exe

Information: Control ACLs Program (Microsoft Corporation)

Command line:cacls C:\winnt\system32\drivers\pcihdd.sys /e /p everyone:n

Parent process:

Path: C:\WINNT\system32\CMD.EXE

PID: 468

Information: Windows NT Command Processor (Microsoft Corporation)

Child process:

Path: C:\WINNT\system32\cacls.exe

Information: Control ACLs Program (Microsoft Corporation)

Command line:cacls C:\winnt\system32\userinit.exe /e /p everyone:r

然后释放病毒文件pvc.exe,于192.168.0.1-192.168.0.254网段

加入框架(病毒)数据包,参数为:

-idx 0 -ip 192.168.0.1-192.168.0.254 -port 80 -insert ""

病毒行为:

去除pcihdd.sys的文件属性,并删除原有的pcihdd.sys文件夹。

然后继续下载:

h**p://xx*.XXXXX.biz/big.exe

h**p://xx*.XXXX.biz/big1.exe

哈哈,自始至终终于见到机器狗了(big.exe)

第2个是上面分析过的ARP病毒,哈哈``54ing``删掉

再看看那个机器狗,哈``首先检测pcihdd.sys是否存在。

若不在则注册该驱动,然后判断条件,如果满足以下条件则退出,不做其他操作:

1、不是启动分区,比如说双系统。

2、文件系统,哈哈``不会是针对FAT16的吧

3、如果是NTFS,使用了文件压缩功能,可能导致病毒驱动在计算Userinnt地址时会出现错误?

4、读取Userinnt失败(设置权限),这个版本的小狗应该还不至于出现这情况。

如果没有意外,则pcihdd.sys访问磁盘底层,读取%SystemRoot%\System32\Userinit.exe

并修改。(应该会穿过一些还原类的东东`)

我测试被HIPS自动拒绝,所以。。。。>_<

能不能穿透影子还不知道。

被修改后的Userinit.exe,重启系统后联网下载东东:

至于解决方法,基本有这几条思路:

1、杀软或HIPS禁止其运行。(对个人PC比较实用)

2、权限设置,禁止修改Userinit.exe和创建pcihdd.sys。(看起来比较渺茫``HIPS的FD可以)

3、路由或防火墙那里把hXXp://xxx.mmma.biz屏蔽了

4、注册表权限,这个比较简单,网吧或局域环境的,操作起来不会太难:

我的是2K系统,比较麻烦```:

开始-运行-regedt32(XP系统不用,直接运行regedit就可以!)

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ (系统服务)

建立个名为PciHdd的空键,然后上权限,system和管理员权限的都要设置。

如果已经有了PciHdd,不用删它,设置为禁止控制和读取 ^_^

5、最后一个比较推荐:

CMD

cd ……到drivers

md pcihdd.sys

cd pcihdd.sys

md 1...\

 

 

彻底清除“机器狗”病毒

 

第一步:用正常的Userinit.exe文件替换被修改的Userinit.exe文件。首先新建一个记事本,输入如下内容:

@echo off

taskkill /f /im userinit.exe

del userinit.exe /f /q /a

   将这个记事本文件保存为kill.bat,双击运行。然后从其它干净的电脑中拷贝一份Userinit.exe文件,将它放到system32目录中。

第二步:删除pcihdd.sys文件,该文件位于windows\system32\drivers文件夹中.用记事本打开位于windows\system32\drivers\etc的HOSTS文件,在最后添加这样一行:127.0.0.1 www.tomwg.com ,修改完后保存文件.

第三步:用<<360安全卫士>>配合杀毒软件清除系统中残留的盗号木马病毒.

第四步:为了更好地预防"机器狗"病毒,我们可以用批处理将pcihdd.sys的文件夹设置为禁止修改.批处理关键代码如下:

md %systemroot%\syste32\dirvers\pcihdd.sys

cacls %systemroot%\syste32\dirvers\pcihdd.sys /e /p everyone:n

cacls %systemroot%\syste32\userinit.exe /e /p everyone:r

你可能感兴趣的:(关于机器狗)